Après avoir fait des ravages sur les systèmes Windows et Linux, le gang du ransomware LockBit a maintenant l'intention de cibler les appareils macOS. Cependant, les chercheurs pensent que le logiciel malveillant pourrait ne pas avoir autant de succès sur Mac en raison de la sécurité innée de ce dernier.
Le ransomware LockBit s'attaque aux systèmes macOS
Dans un récent tweet, la MalwareHunterTeam a révélé avoir rencontré une nouvelle variante du ransomware LockBit. Identifié comme “locker_Apple_M1_64” par les chercheurs, le nouveau logiciel malveillant semble être la première tentative de ce type à cibler spécifiquement Mac.
“locker_Apple_M1_64”: 3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79
Pour autant que je puisse en juger, il s'agit de la première version de l'échantillon du ransomware LockBit ciblant les appareils Mac d'Apple…
Est-ce aussi une première pour les gangs de “grands noms” ?
🤔@patrickwardle
cc @cyb3rops pic.twitter.com/SMuN3Rmodl– MalwareHunterTeam (@malwrhunterteam) 15 avril 2023
LockBit est un puissant ransomware disponible en tant que RaaS, ciblant initialement les systèmes Windows, et plus tard, les systèmes Linux. Au cours des dernières années, LockBit a exécuté de nombreuses cyber-attaques terrifiantes visant de grands services, tels que les systèmes de trains de banlieue du Royaume-Uni, la société suisse de fabrication d'hélicoptères, et bien d'autres encore. Il s'est ensuite progressivement improvisé LockBit 2.0, menant des attaques encore plus graves, notamment contre l'entreprise italienne d'énergie.
Plus tard, une autre variante de ransomware, LockBit 3.0, a également fait surface en ligne, présentant des capacités plus malveillantes. Et les acteurs de la menace semblaient plus motivés pour améliorer le logiciel malveillant puisqu'ils ont annoncé un programme de récompense des bogues.
Et maintenant, il semble parfaitement opportun que les acteurs de la menace prennent la tête du monde RaaS en annonçant un ransomware Apple dédié.
Suite à la divulgation de MalwareHnterTeam, vxunderground a également confirmé posséder les échantillons de logiciels malveillants.
Le groupe de ransomware Lockbit a créé sa première charge utile basée sur MacOS. Nous pensons que c'est la première fois qu'un grand groupe de menace de ransomware développe une charge utile pour les produits Apple.
Nous avons des échantillons.
Intel via @malwrhunterteam@BrettCallow
Télécharger : pic.twitter.com/My9ZtAHCcq
– vx-underground (@vxunderground) 16 avril 2023
Alors que le ransomware a d'abord échappé au radar de presque toutes les solutions antivirus, suite à cette divulgation, VirusTotal montre maintenant que de nombreux services robustes ont commencé à signaler les échantillons de logiciels malveillants.
LockBit peut-il vraiment nuire aux Macs ?
Bien que LockBit ait réussi à agiter le royaume de la cybersécurité en confirmant ses initiatives pour cibler macOS. Mais peut-il nuire aux appareils Mac aussi gravement que Windows et Linux ?
Le chercheur Patrick Wardle pense que non. Comme il l'explique dans son article de blog, bien que le logiciel malveillant puisse atteindre les Mac d'Apple, il ne peut pas les infecter avec succès – du moins, pour l'instant. Cela est dû à la conception de la sécurité inhérente à macOS que la plupart des logiciels malveillants ont du mal à contourner.
Dans le cas de la variante LockBit “locker_Apple_M1_64”, sa première faiblesse réside dans la signature du code. Wardle a souligné que le logiciel malveillant est signé comme “ad-hoc”, et macOS n'autorise pas l'exécution de telles applications sur les systèmes.
En outre, le chercheur a également analysé en profondeur le logiciel malveillant et n'y a rien trouvé de spécifique qui pourrait permettre au ransomware de fonctionner sur les Mac. Ainsi, à l'heure actuelle, cette variante ne semble rien de grave pour les utilisateurs de Mac.
Plus précisément, Apple a mis en place le SIP (et maintenant les volumes système en lecture seule) pour protéger les fichiers au niveau du système d'exploitation. Cela signifie que même si un ransomware trouve son chemin sur un système macOS, il ne pourra pas (facilement) s'attaquer aux fichiers principaux du système d'exploitation. Apple a également ajouté des protections (TCC) aux fichiers utilisateur trouvés dans des répertoires (désormais) protégés tels que ~/Desktop, ~/Documents, etc. etc. Cela signifie que sans exploit ou approbation explicite de l'utilisateur, les fichiers des utilisateurs resteront protégés.
Néanmoins, cela ne signifie pas que les appareils Apple resteront immunisés contre les ransomwares pour l'éternité. De plus, il y a eu plusieurs cas où des appareils Mac ont subi des attaques de logiciels malveillants. Wardle a également souligné qu'une telle démarche de la part d'un grand groupe de ransomware ne devrait pas sembler anodine à la communauté de la sécurité.
Par conséquent, il reste crucial pour Apple, les professionnels de la sécurité et les utilisateurs de rester vigilants quant à la protection de leurs Macs contre de telles menaces.
