แก๊งค์เรียกค่าไถ่ LockBit ที่น่าอับอายได้พัฒนาขึ้น เวอร์ชันของมัลแวร์สำหรับอุปกรณ์ macOS — การโจมตีครั้งแรกในดินแดนของ Apple โดยกลุ่มแรนซัมแวร์รายใหญ่
ล็อคบิตคือ อุดมสมบูรณ์ที่สุดแห่งหนึ่งของโลก การดำเนินการของแรนซัมแวร์ในฐานะบริการ (RaaS) ซึ่งเป็นที่รู้จักจากการพัฒนาใน การโจมตีที่มีรายละเอียดสูง, ข้อเสนอที่เป็นอันตรายที่ซับซ้อนและ พีอาร์เกรดเอบ้าง.
หลักฐานแรกที่แสดงว่าแก๊งนี้ทดลองกับ macOS ถูกเผยแพร่โดยที่เก็บมัลแวร์เรียกค่าไถ่ MalwareHunterTeam เมื่อวันที่ 15 เมษายน “เท่าที่ฉันสามารถบอกได้” ทวีตอ่าน, “นี่เป็นการสร้างตัวอย่าง LockBit ransomware รุ่นแรกของ Apple ที่กำหนดเป้าหมายอุปกรณ์ Mac … นี่เป็นครั้งแรกสำหรับแก๊ง 'ชื่อใหญ่' หรือไม่
หลังจากนั้นไม่นาน vx-underground ซึ่งเป็นไซต์วิจัยมัลแวร์ได้เพิ่มรอยย่นให้กับเรื่องราว “ดูเหมือนว่าเรามาช้ากว่าเกม” มันทวีต. “รุ่น macOS มีให้บริการตั้งแต่วันที่ 11 พฤศจิกายน 2022”
แรนซัมแวร์สำหรับ Mac อาจส่งสัญญาณเตือน แม้ว่าการตรวจสอบไบนารี่อย่างใกล้ชิดจะเผยให้เห็นว่ายังไม่พร้อมสำหรับช่วงไพร์มไทม์
“สำหรับตอนนี้ ผลกระทบต่อผู้ใช้ Mac โดยเฉลี่ยในองค์กรนั้นเป็นศูนย์” Patrick Wardle ผู้ก่อตั้ง Objective-See Foundation กล่าวกับ Dark Reading เขาดึงตัวอย่างออกจากกัน บทวิเคราะห์ที่เผยแพร่เมื่อวันที่ 16 เมษายน.
อย่างไรก็ตาม เขากล่าวเสริมว่า “ผมคิดว่าสิ่งนี้ควรถูกมองว่าเป็นลางสังหรณ์ของสิ่งที่จะเกิดขึ้นในอนาคต คุณมีกลุ่มแรนซั่มแวร์ขนาดใหญ่ที่ได้รับทุนสนับสนุนและมีแรงจูงใจเป็นอย่างดีซึ่งพูดว่า: 'เฮ้ เรากำลังตั้งเป้าไปที่ macOS'”
ผู้ใช้ Mac จะพร้อมหรือไม่เมื่อแรนซัมแวร์เข้ามาหาพวกเขาในที่สุด?
LockBit บน Mac
การค้นพบเมื่อวันเสาร์อาจมีลักษณะดีที่สุดว่าเป็นมัลแวร์ Windows กับลิปสติก macOS
ในการคลายโค้ด Wardle ค้นพบสตริงหลายตัวที่เกี่ยวข้องกับสิ่งประดิษฐ์ของ Windows — เช่น autorun.inf, ntuser.dat.log และอื่นๆ คอมโพเนนต์เดียวที่บ่งชี้ถึงความตั้งใจของระบบปฏิบัติการคือตัวแปรที่เรียกว่า “apple_config”
“นี่เป็นเพียงตัวอย่างเดียว (ที่ฉันพบ) ของการอ้างอิง/การปรับแต่งเฉพาะใดๆ ของ macOS” Wardle ระบุในการวิเคราะห์ โดยเสริมว่า “(ไบนารีที่เหลือของมัลแวร์ดูเหมือนโค้ด Linux ที่คอมไพล์สำหรับ macOS)”
มีสัญญาณอื่น ๆ เช่นกันว่านักพัฒนาซอฟต์แวร์ยังไม่เสร็จสิ้นโครงการ ตัวอย่างเช่น โค้ดได้รับการเซ็นชื่อเป็น "เฉพาะกิจ" ซึ่งเป็นรหัสตัวแทนของ Apple Developer ID ที่ถูกขโมย นี่อาจเป็นตัวยึดตำแหน่งสำหรับลูกค้า RaaS ในอนาคต แต่สำหรับตอนนี้ Wardle อธิบายว่า "นั่นหมายความว่าหากดาวน์โหลดไปยังระบบ macOS (เช่น ใช้งานโดยผู้โจมตี) macOS จะไม่ยอมให้มันทำงาน"
พอเพียงที่จะกล่าวว่า LockBit ยังไม่ได้ทำลายเขื่อนของ Apple แต่นั่นไม่ได้หมายความว่าผู้ใช้ Mac จะผ่อนคลายได้
Ransomware มุ่งหน้าสู่ Macs
หนึ่งในแรนซั่มแวร์ชื่อใหญ่ที่ไม่เคยมีมาก่อน — คอนติ, คลอป, รังและอื่น ๆ — พัฒนาแรนซัมแวร์สำหรับคอมพิวเตอร์ Mac อาจมีเหตุผลประการหนึ่งเหนือสิ่งอื่นใดที่เป็นเช่นนั้น
“ดูตามธรรมเนียมแล้วว่าใครคือเป้าหมายของการโจมตีแรนซัมแวร์ขนาดใหญ่ มันคือองค์กรต่างๆ เช่น โรงพยาบาล สถานที่บรรจุหีบห่อ บริษัทแบบดั้งเดิมเหล่านี้” Wardle ชี้ให้เห็น “โดยทั่วไปแล้วพวกเขาจะใช้ Windows”
แม้ว่าอุปกรณ์ Apple จะแพร่กระจายอย่างช้าๆ ในสภาพแวดล้อมขององค์กร ก ข้อมูลการสำรวจปี 2021 จาก JAMF ระบุว่าแท็บเล็ตของ Apple เป็นตัวเลือกหลักสำหรับธุรกิจ iPhone เป็นตัวแทนประมาณครึ่งหนึ่งของสมาร์ทโฟนทั้งหมดในธุรกิจ และ "การเจาะเฉลี่ย" ของอุปกรณ์ macOS ในองค์กรอยู่ที่ประมาณ 23% เมื่อเทียบกับ 17% เมื่อสองปีก่อน
“การแพร่ระบาดและการทำงานจากที่บ้านกระตุ้นให้เกิดสิ่งนั้น” วอร์เดิ้ลกล่าวเสริม “ผู้คนจำนวนมากมีคอมพิวเตอร์ Mac และเมื่อคนรุ่นใหม่เข้าสู่วัยทำงาน พวกเขาก็พอใจกับระบบนิเวศของ Apple มากขึ้น”
จากนั้นเขากล่าวเสริมว่า “แฮ็กเกอร์ที่ฉวยโอกาสตระหนักดีว่าผู้ที่อาจตกเป็นเหยื่อของพวกเขาจำนวนมากกำลังเปลี่ยนแปลง ดังนั้นพวกเขาจึงจำเป็นต้องพัฒนาผลงานที่มุ่งร้ายของพวกเขา”
ดังนั้นคำถามอาจไม่ใช่ว่ากลุ่มแรนซัมแวร์จะข้ามไปยัง macOS หรือไม่ แต่จะเร็วแค่ไหน “นี่” วอร์เดิ้ลคิด “เป็นคำถามมูลค่าล้านดอลลาร์จริงๆ”
อุปกรณ์ Apple เตรียมพร้อมสำหรับ Ransomware หรือไม่
โชคดีสำหรับผู้ใช้ Mac ที่ Apple ได้คาดการณ์แรนซัมแวร์ D-Day นี้ไว้ล่วงหน้าแล้ว Wardle ชี้ไปที่การป้องกันหลักสองประการที่สร้างไว้แล้วในระบบปฏิบัติการ
ประการแรก เขากล่าวว่า “ไฟล์ระบบอยู่ภายใต้เงื่อนไขแบบอ่านอย่างเดียว ดังนั้นแม้ว่าแรนซัมแวร์จะเข้าถึงรูทบนคอมพิวเตอร์ได้ แต่ก็ยังไม่สามารถแก้ไขไฟล์สำคัญเหล่านั้นและล็อคหรือทำให้ระบบใช้งานไม่ได้”
ประการที่สองคือ TCC — ย่อมาจากความโปร่งใส ความยินยอม และการควบคุม
“แนวคิดคือไดเร็กทอรีบางอย่าง เช่น ไดเร็กทอรีเอกสารของผู้ใช้ เดสก์ท็อป ดาวน์โหลด โฟลเดอร์เบราว์เซอร์ และคุกกี้ - ได้รับการปกป้องโดยระบบปฏิบัติการจริงๆ” Wardle อธิบาย หากแรนซัมแวร์หาทางเข้าสู่ระบบ “มันจะวิ่งเข้าไปใน TCC และจะไม่สามารถเข้าถึงไฟล์ที่ต้องการเข้ารหัสได้ โดยไม่มีช่องโหว่อื่นหรือให้ผู้ใช้อนุมัติการเข้าถึงอย่างชัดแจ้ง”
มีข้อแม้สำหรับข่าวที่น่ายินดีนั้น “Apple ทำงานได้ดีมากในการใช้กลไกการรักษาความปลอดภัย แต่” Wardle เตือน “คุณสมบัติเหล่านี้ยังไม่ได้ทดลองและทดสอบจริงๆ บางทีแฮ็กเกอร์อาจเริ่มเจาะและค้นหาข้อบกพร่องบางอย่าง ตัวอย่างเช่น TCC เต็มไปด้วยทางเบี่ยงตั้งแต่วันแรก”
“มันคงไร้เดียงสาที่จะคิดว่าผู้โจมตีจะไม่ปรับปรุงเทคนิคของพวกเขาและสร้างแรนซัมแวร์ที่มีประสิทธิภาพมากกว่านี้” เขาสรุป “ดังนั้น ฉันคิดว่ามันดีมากที่จะพูดถึงเรื่องนี้ตอนนี้”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/remote-workforce/researchers-discover-first-ever-major-ransomware-targeting-macos
