Menu dostępności

Ransomware na Apple

Ransomware na Apple! Czy jest się czego bać?

Uwaga, właściciele Maców! Znana grupa ransomware LockBit podobno opracowuje złośliwe oprogramowanie mogące szyfrować pliki na urządzeniach z systemem operacyjnym macOS, czyli produktach Apple. Czy sprawa jest poważna?

Pierwszy był MalwareHunterTeam. Poinformował w niedzielę, że natknął się na coś, co wyglądało na pierwszą iterację złośliwego oprogramowania dla systemu macOS opracowaną przez dużą grupę zajmującą się ransomware.

Wkrótce potem Vx-Underground, które bada próbki złośliwego oprogramowania, znalazło dowody na to, że analizowany kod istnieje co najmniej od listopada 2022 roku.

Na tym etapie malware wydawał się gotowym produktem, a kiedy analizowano pierwszą próbkę, żaden z silników antymalware w VirusTotal go nie wykrywał.

W końcu głos zabrał ekspert ds. bezpieczeństwa Apple, Patrick Wardle. Przeprowadził analizę wersji LockBit dla systemu macOS i stwierdził, że chociaż może działać na komputerach Mac i jest w stanie szyfrować pliki, obecnie nie stanowi realnego zagrożenia. Po pierwsze analizowana próbka została podpisana, ale niezaufanym certyfikatem, co oznacza, że macOS uniemożliwia jej uruchomienie. Po drugie Wardle zwrócił uwagę, że nawet jeśli takie oprogramowanie znajdzie sposób na uruchomienie się na urządzeniu z systemem macOS, zabezpieczenia systemu plików wdrożone przez Apple, takie jak TCC (Transparency, Consent i Control), prawdopodobnie znacznie ograniczą jego wpływ.

Ransomware na apple - próbka
Ransomware LockBit macOS; za: SecurityWeek

Badacz odkrył również, iż analizowany kod zawiera błędy, które mogą spowodować nagłe zakończenie jego działania w systemie macOS.

Podczas swojej analizy Wardle znalazł ciągi znaków sugerujące, że przynajmniej część kodu została zaczerpnięta z wersji przeznaczonej do atakowania systemów Windows. Ponadto badacz wskazał, że znaczna część to kod Linuksa, ponownie skompilowany dla systemu macOS.

„Chociaż może to być pierwszy raz, gdy duża grupa stworzyła oprogramowanie ransomware zdolne do działania w systemie macOS, warto zauważyć, że ta próbka nie jest jeszcze gotowa na masowe ataki. Od braku certyfikatu do podpisywania kodu po nieznajomość TCC i innych zabezpieczeń systemu plików macOS, w obecnym stanie, nie stanowi zagrożenia dla użytkowników macOS” – powiedział Wardle.

Analityk zagrożeń Emsisoft Brett Callow zwrócił uwagę, że nie ma dowodów, by złośliwe oprogramowanie zostało użyte w praktyce. „Jest to jednak wskazówka, że LockBit myśli, a przynajmniej myślał o komputerach Mac” – zauważył Callow.

Microsoft o ransomware na Apple

Przypomnijmy, że w styczniu badacze bezpieczeństwa Microsoft zgłaszali ataki ransomware na flagowy system operacyjny Apple. Ostrzegali, iż motywowani finansowo cyberprzestępcy nadużywają legalnych funkcji macOS w celu wykorzystania luk w zabezpieczeniach, obejścia zabezpieczeń lub zmuszenia użytkowników do zainfekowania urządzeń.

W poście na blogu dokumentującym badania nad czterema znanymi rodzinami ransomware macOS, zespół ds. analizy zagrożeń bezpieczeństwa firmy Microsoft opublikował IOC i szczegóły techniczne, aby pokazać, w jaki sposób aktorzy ransomware atakują użytkowników urządzeń z systemem macOS.

Chodziło oczywiście o to, że większość ataków ransomware w praktyce jest ukierunkowana na system operacyjny Microsoft – Windows i firma z Redmond wykorzystywała publikowane na blogu badania, aby wykazać, że zagrożenie jest wieloplatformowe.

„Napastnicy stale rozwijają swoje techniki i poszerzają swoje rzemiosło, aby skuteczniej zarzucać sieć, nie pozwalając umykać potencjalnym celom. Jest to widoczne w wielu branżach, systemach i platformach dotkniętych atakami ransomware. Zrozumienie, jak ransomware działa w tych systemach i platformach, ma kluczowe znaczenie dla ochrony dzisiejszych urządzeń i hybrydowych środowisk pracy” – przypominał wtedy Microsoft.

Badanie Microsoftu zostało skrytykowane przez zewnętrznych specjalistów. Głównie dlatego, że potwierdziło, iż początkowy wektor infekcji ransomware dla komputerów Mac zwykle opiera się na metodach wspomaganych przez użytkownika, takich jak pobieranie i uruchamianie fałszywych lub trojanizowanych aplikacji.

Nie był to pierwszy raz, kiedy Microsoft wykorzystał swój publiczny blog, aby zwrócić uwagę na luki w zabezpieczeniach Apple. Wcześniej gigant z Redmond opublikował szczegółowe informacje na temat luki w zabezpieczeniach macOS Gatekeeper. Podatności, która szybko ewoluowała – od trojana gromadzącego podstawowe informacje do ukrytego backdoora o potężniejszych możliwościach.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...