O infame ransomware LockBit está sendo portado para macOS

Pesquisadores de segurança cibernética descobriram uma nova versão do ransomware LockBit projetada para rodar no macOS, a primeira vez que um grande grupo de hackers decidiu invadir o ecossistema da Apple.

Fonte da imagem: Pete Linforth / pixabay.com

O LockBit é um dos ransomwares mais notórios que apareceu em vários incidentes importantes. A primeira evidência de que o grupo de hackers de mesmo nome começou a experimentar a plataforma macOS foi a publicação de uma instância no repositório MalwareHunterTeam em 15 de abril. Pouco tempo depois, os pesquisadores do vx-underground descobriram que a versão para computadores Apple apareceu até 11 de novembro de 2022.

Acontece que é muito cedo para soar o alarme: o vírus ainda não está pronto para um ataque em grande escala e sua aparência deve ser interpretada mais como uma declaração de intenção do grupo de hackers de começar a trabalhar na Apple. Em sua forma atual, é mais um malware do Windows portado grosseiramente para o macOS. Ao descompactar, o código encontrou linhas com artefatos do Windows, incluindo links para os arquivos autorun.inf e ntuser.dat.log, mas já existe uma variável chamada apple_config. Um dos especialistas também descreveu grande parte do código como sendo escrito para Linux e posteriormente portado para macOS. A assinatura do arquivo continha a designação “ad-hoc”, que na versão “combate” do vírus será substituída por um ID de desenvolvedor da Apple roubado.

Fonte da imagem: apple.com

Os grupos de ransomware ainda não desenvolveram malware para macOS; seus alvos são organizações e empresas privadas cujas infraestruturas são predominantemente estações de trabalho Windows. No entanto, a presença dos aparelhos da Apple no ambiente corporativo está aumentando gradativamente: segundo dados de 2021, as empresas que precisam de tablets estão comprando cada vez mais iPads, os iPhones já conquistaram cerca de 50% de todos os smartphones no ambiente corporativo, e a “média penetração” de computadores rodando macOS em empresas era de cerca de 23%, e dois anos antes esse número era de 17%.

A Apple previu esse cenário e tomou algumas medidas para proteger o sistema. Os arquivos do sistema macOS são somente leitura – mesmo com acesso root, o malware não pode alterá-los. E o sistema TCC (Transparência, Consentimento, Controle) fornece proteção adicional para diretórios críticos. Isso significa que, sem ferramentas adicionais, o vírus não será capaz de criptografar arquivos importantes para o usuário – ele precisará de uma vulnerabilidade no macOS ou de uma confirmação de acesso explícita do usuário. O problema é que essas defesas ainda não foram testadas em ataques em grande escala e, se os hackers começarem a trabalhar com força total, terão a chance de encontrar algumas falhas de segurança.