Mã hóa ransomware LockBit được tìm thấy nhắm mục tiêu các thiết bị Mac

Nhóm ransomware LockBit lần đầu tiên đã tạo ra các bộ mã hóa nhắm mục tiêu vào máy Mac, có khả năng trở thành hoạt động ransomware lớn đầu tiên nhắm mục tiêu cụ thể vào macOS.

Các trình mã hóa ransomware mới được phát hiện bởi nhà nghiên cứu an ninh mạng  MalwareHunterTeam  , người đã tìm thấy một kho lưu trữ ZIP trên VirusTotal chứa hầu hết các trình mã hóa LockBit hiện có.

Trước đây, hoạt động LockBit sử dụng các bộ mã hóa được thiết kế cho các cuộc tấn công trên máy chủ Windows, Linux và VMware ESXi. Tuy nhiên, như được hiển thị bên dưới, kho lưu trữ này [ VirusTotal ] cũng chứa các bộ mã hóa chưa biết trước đây cho các CPU macOS, ARM, FreeBSD, MIPS và SPARC.

Lưu trữ các bộ mã hóa LockBit có sẵn

Các bộ mã hóa này cũng bao gồm một bộ mã hóa có tên 'locker_Apple_M1_64' [ VirusTotal ] nhắm mục tiêu đến các máy Mac mới hơn chạy trên Apple Silicon. Kho lưu trữ cũng chứa các bộ khóa dành cho CPU PowerPC mà các máy Mac cũ hơn sử dụng.

Nghiên cứu sâu hơn của nhà nghiên cứu an ninh mạng Florian Roth đã tìm thấy một bộ mã hóa Apple M1  được tải lên VirusTotal  vào tháng 12 năm 2022, cho thấy rằng những mẫu này đã trôi nổi trong một thời gian.

Các bản dựng thử nghiệm có khả năng

BleepingComputer đã phân tích các chuỗi trong bộ mã hóa LockBit cho Apple M1 và tìm thấy các chuỗi nằm sai vị trí trong bộ mã hóa macOS, cho thấy rằng những chuỗi này có thể được kết hợp ngẫu nhiên với nhau trong một thử nghiệm.

Ví dụ: có rất nhiều tham chiếu đến VMware ESXi, không phù hợp với bộ mã hóa Apple M1, vì VMare đã thông báo rằng họ sẽ không hỗ trợ kiến ​​trúc CPU .

_check_esxi

esxi_

_Esxi

_kill_esxi_1

_kill_esxi_2

_kill_esxi_3

_kill_processes

_kill_processes_Esxi

_killed_force_vm_id

_listvms

_esxcfg_scsidevs1

_esxcfg_scsidevs2

_esxcfg_scsidevs3

_esxi_disable

_esxi_enable

Hơn nữa, bộ mã hóa chứa danh sách sáu mươi lăm phần mở rộng tệp và tên tệp sẽ bị loại trừ khỏi quá trình mã hóa, tất cả chúng đều là các thư mục và phần mở rộng tệp Windows.

Một đoạn nhỏ của các tệp Windows mà bộ mã hóa Apple M1 sẽ không mã hóa được liệt kê bên dưới, tất cả đều không phù hợp trên thiết bị macOS.

.exe

.bat

.dll

msstyles

gadget

winmd

ntldr

ntuser.dat.log

bootsect.bak

autorun.inf

thumbs.db

iconcache.db

Hầu như tất cả các chuỗi ESXi và Windows cũng có trong bộ mã hóa MIP và FreeBSD, cho thấy rằng chúng sử dụng cơ sở mã được chia sẻ.

Tin vui là những bộ mã hóa này có thể chưa sẵn sàng để triển khai trong các cuộc tấn công thực tế nhằm vào thiết bị macOS.

Nhà nghiên cứu Azim Khodjibaev của Cisco Talos nói với BleepingComputer rằng dựa trên nghiên cứu của họ, các bộ mã hóa chỉ nhằm mục đích thử nghiệm và không bao giờ có ý định triển khai trong các cuộc tấn công mạng trực tiếp.

Chuyên gia an ninh mạng macOS  Patrick Wardle  đã xác nhận thêm lý thuyết của BleepingComputer và Cisco rằng đây là những bản dựng đang trong quá trình phát triển/thử nghiệm, nói rằng bộ mã hóa còn lâu mới hoàn thiện vì nó thiếu chức năng cần thiết để mã hóa máy Mac đúng cách.

Thay vào đó, Wardle nói với BleepingComputer rằng anh ấy tin rằng bộ mã hóa macOS dựa trên phiên bản Linux và được biên dịch cho macOS với một số cài đặt cấu hình cơ bản.

Hơn nữa, Wardle nói với chúng tôi rằng khi bộ mã hóa macOS được khởi chạy, nó gặp sự cố do lỗi tràn bộ đệm trong mã của nó.

"Có vẻ như macOS hiện đã có trên radar của họ... nhưng ngoài việc biên dịch nó cho macOS và thêm một cấu hình cơ bản (chỉ là các cờ cơ bản...không dành riêng cho macOS) thì điều này còn lâu mới sẵn sàng để triển khai, " Wardle nói với BleepingComputer.

Wardle chia sẻ thêm rằng nhà phát triển LockBit trước tiên phải "tìm ra cách vượt qua TCC, được công chứng" trước khi trở thành một bộ mã hóa chức năng.

Bạn có thể tìm thấy phân tích kỹ thuật chi tiết do Wardle thực hiện trên bộ mã hóa Mac mới trên Mục tiêu Xem .

Mặc dù Windows là hệ điều hành được nhắm mục tiêu nhiều nhất trong các cuộc tấn công bằng mã độc tống tiền, nhưng không có gì ngăn cản các nhà phát triển tạo mã độc tống tiền nhắm vào máy Mac.

Tuy nhiên, vì hoạt động LockBit được biết đến với việc thúc đẩy quá trình phát triển ransomware, nên sẽ không ngạc nhiên khi thấy các bộ mã hóa tiên tiến và tối ưu hóa hơn cho các kiến ​​trúc CPU này được phát hành trong tương lai.

Do đó, tất cả người dùng máy tính, kể cả chủ sở hữu máy Mac, nên thực hành thói quen an toàn trực tuyến tốt, bao gồm cập nhật hệ điều hành, tránh mở các tệp đính kèm và tệp thực thi không xác định, tạo bản sao lưu ngoại tuyến và sử dụng mật khẩu mạnh và duy nhất tại mọi trang web bạn truy cập.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.