Sicherheitsforscher sind Die Untersuchung neu entdeckter Mac-Ransomware-Samples der berüchtigten LockBit-Bande ist das erste bekannte Beispiel einer prominenten Ransomware-Gruppe, die mit macOS-Versionen ihrer Malware spielt.
Ransomware ist eine allgegenwärtige Bedrohung, aber Angreifer machen sich normalerweise nicht die Mühe, Versionen ihrer Malware zu erstellen, die auf Macs abzielen. Das liegt daran, dass Apples Computer, obwohl sie beliebt sind, viel weniger verbreitet sind als diejenigen, auf denen Windows, Linux und andere Betriebssysteme laufen. Im Laufe der Jahre sind jedoch einige Male scheinbar experimentelle Mac-Ransomware aufgetaucht, was den Eindruck erweckt, dass das Risiko jeden Moment eskalieren könnte.
Entdeckt von MalwareHunterTeam, scheinen die Proben von Ransomware-Verschlüsselungsprogrammen erstmals im November und Dezember 2022 im Malware-Analyse-Repository VirusTotal aufgetaucht zu sein, blieben aber bis gestern unbemerkt. LockBit scheint sowohl eine Version des Verschlüsslers erstellt zu haben, die auf neuere Macs mit Apple-Prozessoren abzielt, als auch auf ältere Macs, die auf Apples PowerPC-Chips laufen.
Forscher sagen, dass die LockBit Mac-Ransomware eher ein erster Vorstoß zu sein scheint als alles, was voll funktionsfähig und einsatzbereit ist. Aber die Bastelei könnte auf zukünftige Pläne hindeuten, insbesondere angesichts der Tatsache, dass immer mehr Unternehmen und Institutionen Macs integriert haben, was es für Ransomware-Angreifer attraktiver machen könnte, Zeit und Ressourcen zu investieren, um Apple-Computer anzugreifen.
„Es ist nicht überraschend, dass eine große und erfolgreiche Ransomware-Gruppe nun macOS ins Visier genommen hat“, sagt Patrick Wardle, langjähriger Mac-Sicherheitsforscher und Gründer der Objective-See Foundation. „Es wäre naiv anzunehmen, dass LockBit diese Ransomware nicht verbessern und iterieren wird, wodurch möglicherweise eine effektivere und zerstörerischere Version erstellt wird.“
Apple lehnte es ab, sich zu den Ergebnissen zu äußern.
LockBit ist eine in Russland ansässige Ransomware-Gang, die Ende 2019 gegründet wurde. Die Gruppe ist vor allem für ihr schieres Volumen an Angriffen bekannt und dafür, dass sie gut organisiert und weniger protzig und sophomorisch erscheint als einige ihrer Kollegen in der cyberkriminellen Landschaft. Aber LockBit ist nicht immun gegen Arroganz und öffentliche Aggression. Insbesondere hat es in den letzten Monaten erhebliche Aufmerksamkeit auf sich gezogen, indem es die britische Royal Mail und ein kanadisches Kinderkrankenhaus ins Visier nahm.
Fürs Erste stellt Wardle fest, dass sich die macOS-Verschlüsselungsprogramme von LockBit in einer sehr frühen Phase zu befinden scheinen und sich noch in einer grundlegenden Entwicklung befinden Themen wie ein Absturz beim Start. Und um wirklich effektive Angriffswerkzeuge zu entwickeln, muss LockBit herausfinden, wie der Schutz von macOS umgangen werden kann, einschließlich Gültigkeitsprüfungen, die Apple in den letzten Jahren hinzugefügt hat, um neue Software auf Macs auszuführen.
„In gewisser Weise ist Apple der Bedrohung voraus, da neuere Versionen von macOS mit unzähligen integrierten Sicherheitsmechanismen ausgeliefert werden, die darauf abzielen, Ransomware-Angriffe direkt zu vereiteln oder zumindest die Auswirkungen zu verringern“, sagt Wardle. „Gut finanzierte Ransomware-Gruppen werden ihre bösartigen Kreationen jedoch weiter entwickeln.“
Die Entwicklung von Mac-Ransomware hat vielleicht nicht die höchste Priorität auf der To-do-Liste jedes Angreifers, aber das Feld verschiebt sich. Da die Strafverfolgungsbehörden weltweit darauf drängen, Angriffen entgegenzuwirken, und Opfern zunehmend Input und Ressourcen zur Verfügung stehen, um Zahlungen zu vermeiden, suchen Ransomware-Banden immer verzweifelter nach neuen oder raffinierten Strategien, die ihnen helfen, bezahlt zu werden.
„Der LockBit-Verschlüsseler sieht in seiner jetzigen Form nicht besonders brauchbar aus, aber ich werde ihn definitiv im Auge behalten“, sagt Thomas Reed, Direktor für Mac- und mobile Plattformen beim Antivirus-Hersteller Malwarebytes. „Die Rentabilität könnte sich in Zukunft verbessern. Oder auch nicht, wenn ihre Tests nicht vielversprechend sind.“
Dennoch sind Macs für Ransomware-Akteure, die so viel Umsatz wie möglich generieren möchten, ein potenziell attraktives unbebautes Feld.