La banda de ransomware LockBit ha comenzado a dirigirse a Macs utilizando sus recién desarrollados programas de cifrado, lo que los convierte en posiblemente el primer grupo de ransomware importante en atacar macOS.
Aunque los ataques de ransomware son comunes, es inusual que los atacantes desarrollen versiones de malware específicas para dirigirse a Macs.
Aunque las computadoras de Apple son ampliamente utilizadas, su presencia es menor en comparación con otras plataformas como Windows y Linux. Durante los meses de noviembre y diciembre de 2022, el equipo de MalwareHunterTeam detectó por primera vez muestras de encriptadores de ransomware en el repositorio de análisis de malware de VirusTotal.
Análisis técnico
MalwareHunterTeam descubrió un archivo ZIP en VirusTotal que aparentemente incluye la mayoría de los encriptadores disponibles de LockBit.
Las operaciones de LockBit tradicionalmente utilizan encriptadores creados para atacar:
Windows
Linux
Servidores VMware ESXi
Además de esto, hay un encriptador específico llamado ‘locker_Apple_M1_64’ que tiene como objetivo encriptar las versiones más nuevas de macOS con Apple Silicon.
Durante el análisis del encriptador LockBit por parte de los investigadores de Objective See para Apple M1, se encontraron cadenas de texto mal ubicadas que sugieren que fue ensamblado rápidamente como una prueba y no estaba destinado a la encriptación en macOS.
En el cifrador de Apple M1 se encontraron múltiples referencias a VMware ESXi, lo cual es extraño, ya que VMware había afirmado previamente que no brindaría soporte para la arquitectura de la CPU.
Al utilizar la utilidad codesign, se determinó que el encriptador estaba firmado de manera «ad hoc» en lugar de utilizar una identificación de desarrollador de Apple.
El archivo locker_Apple_M1_64 es un binario arm64 que se beneficia de tener sus símbolos sin eliminar, lo que lo hace más eficiente.
El cifrador excluye 65 extensiones de archivo y carpetas de Windows del cifrado, especificadas por sus nombres de archivo.
Como resultado, macOS impediría su ejecución si fuera descargado en un sistema por parte de atacantes, lo cual se confirmó con el mensaje de «firma no válida» mostrado por la utilidad spctl.
Aquí está lo que declaró Patrick Wardle de Objective See
«El cifrador de macOS es una versión compilada del cifrador basado en Linux con configuraciones básicas. Sin embargo, al ejecutarlo, se produce un fallo debido a un error de desbordamiento de búfer en el código.»
Aunque macOS ahora está en su radar, el cifrador aún no está listo para ser implementado, ya que solo tiene banderas de configuración básicas añadidas durante la compilación para macOS.
Antes de que el cifradorde LockBit pueda funcionar, el desarrollador necesita encontrar una forma de eludir el Control de Acceso a Tareas (TCC) y obtener la aprobación de notarización.
Sin embargo, LockBitSupp, el representante público de LockBit, ha afirmado que actualmente están trabajando activamente en el desarrollo del cifrador para macOS.
Aunque no está claro qué tan efectivo podría ser el cifrador de macOS en entornos empresariales, es posible que los afiliados de LockBit que se dirigen a pequeñas empresas y consumidores encuentren más utilidad en él.
Fuente: Felipe Bernal
