Il gruppo LockBit, una delle bande di ransomware più potenti al mondo, ha creato per encryptor per prendere di mira Apple, avvisano i ricercatori di MalwareHunterTeam che hanno individuato codice di LockBit in un archivio ZIP su VirusTotal sviluppato appositamente per insediarsi nei sistemi MacOs.
Il team spiega che è la prima volta che un’importante banda di ransomware mira a dispositivi della Mela.
LockBit è una sottoclasse di ransomware, che blocca l’accesso a file specifici o all’intero sistema colpito, chiedendo un riscatto. Notoriamente indirizzato a Sistemi Operativi come Windows, Linux e VMware ESXi (software per la virtualizzazione di ambienti operativi) contro aziende e organizzazioni, deve la sua forza a una rete di commercializzazione RaaS con diramazioni in tutto il globo.
I ricercatori di MalwaereHunterTeam hanno scoperto la variante LockBit per MacOS in un file ZIP caricato su VirusTotal negli scorsi giorni, presente nell’archivio con denominazione “locker_Apple_M1_64”.
Si tratta della build che ha destato più preoccupazione, in quanto specificamente rivolta ai dispositivi Apple con chip Mac M1, quindi i più recenti. Tuttavia, risultano anche varianti per CPU PowerPC (supportata dai vecchi Mac) o addirittura per altre architetture e Sistemi Operativi, come ARM, FreeBSD, SPARC e MIPS.
Inoltre, sembrerebbe che i file in questione siano stati caricati già a dicembre 2022, riuscendo a passare inosservati per ben quattro mesi.
Dalle rilevazioni è emerso che le build nel mirino sono semplici esempi di test, implementati a partire dai ben più rinomati modelli del ransomware per Windows e Linux. Nell’eseguibile per M1, sono stati evidenziati vistosi bug d’implementazione, tra cui riferimenti a VMware ESXi, file di crittografia con estensione per Windows, e quindi inutilizzabili su Mac, firma non valida, chepermette ai dispositivi di riconoscere e bloccare sul nascere l’infezione.
La scoperta dimostra lo sforzo del gruppo per espandere la propria operatività mirando anche ai sistemi Apple.
Secondo la società di sicurezza Swascan, negli ultimi tre mesi del 2022, ben 817 imprese sono state vittima di LockBit. Tra i recenti colpi messi a segno, la società che gestisce il servizio idrico di Porto, la seconda città più grande del Portogallo. La società di consulenza Ncc Group ha riferito che LockBit è stato responsabile del 40% di tutti gli attacchi ransomware osservati nel 2022, rendendolo uno degli “attori di minacce ransomware più pericoloso”. In un’intervista a Wired all’inizio del 2023, l’analista Jon DiMaggio ha spiegato in che modo il gruppo criminale sia diventato così temuto: “Hanno creato un ransomware che chiunque potrebbe usare e aggiornano costantemente il loro software per aggirare le protezioni.
Inoltre, sono sempre alla ricerca di feedback degli utenti, si preoccupano della loro esperienza, rubano persone da bande rivali. Un’attività gestita come un’azienda, il che è molto attraente per gli hacker o aspiranti tali”.
https://twitter.com/malwrhunterteam/status/1647384505550876675
