0
0
A infame gangue de ransomware LockBit desenvolveu uma versão de seu malware para dispositivos macOS – a primeira incursão no território da Apple por um grande grupo de ransomware.
O LockBit é uma das operações de ransomware como serviço (RaaS) mais prolíficas do mundo, conhecida por seu envolvimento em ataques de alto perfil, ofertas maliciosas sofisticadas e algumas relações públicas de grau A.
A primeira evidência de que a gangue vem experimentando o macOS foi publicada pelo repositório de ransomware MalwareHunterTeam em 15 de abril. “Tanto quanto eu posso dizer”, dizia um tweet, “esta é a primeira compilação de dispositivos Mac da Apple direcionada à amostra de ransomware LockBit vista … Também é a primeira vez para as gangues de ‘grande nome’?”
Pouco tempo depois, o vx-underground – um site de pesquisa de malware – adicionou uma ruga à história. “Parece que estamos atrasados para o jogo”, tuitou. “A variante do macOS está disponível desde 11 de novembro de 2022.”
Ransomware para Mac pode fazer soar os alarmes, embora um exame mais detalhado do binário revele que ele não está pronto para o horário nobre.
“Por enquanto, o impacto para o usuário médio de Mac na empresa é essencialmente zero”, diz Patrick Wardle, fundador da Objective-See Foundation, à Dark Reading. Ele separou uma amostra em uma análise publicada em 16 de abril.
No entanto, ele acrescenta: “Eu acho que isso deve ser visto como um prenúncio das coisas que estão por vir. Você tem um grupo de ransomware muito bem financiado e motivado que está dizendo: ‘Ei, estamos de olho no macOS'”.
Os usuários de Mac estarão prontos quando o ransomware finalmente chegar para eles?
LockBit no Mac
A descoberta de sábado pode ser melhor caracterizada como malware do Windows com batom macOS.
Ao descompactar o código, Wardle descobriu várias cadeias de caracteres relacionadas a artefatos do Windows — como autorun.inf, ntuser.dat.log e assim por diante. O único componente que indicava suas intenções no sistema operacional era uma variável chamada “apple_config”.
“Esta é a única instância (que encontrei) de quaisquer referências/personalizações específicas do macOS”, observou Wardle na análise, acrescentando que “(O resto do binário do malware simplesmente se parece com o código do Linux, compilado para macOS)”.
Havia outros sinais, também, de que os desenvolvedores ainda não haviam concluído seu projeto. Por exemplo, o código foi assinado “ad-hoc” – um substituto para, digamos, um ID de desenvolvedor da Apple roubado. Isso pode ser um espaço reservado para futuros clientes de Ras, mas, por enquanto, explica Wardle, “isso significa que, se baixado para um sistema macOS (ou seja, implantado pelos invasores), o macOS não o deixará funcionar”.
Basta dizer: a LockBit ainda não rompeu a barragem da Apple. Mas isso não significa que os usuários de Mac possam relaxar.
Ransomware está indo para Macs
Nunca antes um dos grandes nomes do ransomware – Conti, Clop, Hive, et al – desenvolveu ransomware para computadores Mac. Pode haver uma razão, acima de tudo, para o porquê disso.
“Veja, tradicionalmente, quem são os alvos de grandes ataques de ransomware. São as empresas: hospitais, instalações de embalagem, essas empresas mais tradicionais”, ressalta Wardle. Eles geralmente são baseados no Windows.”
Lentamente, porém, os dispositivos da Apple foram se espalhando em ambientes corporativos. Uma pesquisa de 2021 da JAMF indicou que os tablets da Apple são a escolha preferida para as empresas, os iPhones representam cerca de metade de todos os smartphones em ambientes de negócios e a “penetração média” de dispositivos macOS na empresa foi de cerca de 23%, em comparação com 17% dois anos antes.
“A pandemia e o trabalho em casa realmente estimularam isso”, postula Wardle. “Muitas pessoas têm computadores Mac. E à medida que a geração mais jovem entra no mercado de trabalho – eles estão mais confortáveis com o ecossistema da Apple.”
Na sequência disso, acrescenta, “hackers que são muito oportunistas estão percebendo que muitas de suas vítimas em potencial estão agora em transição e, portanto, precisam evoluir suas criações maliciosas”.
Portanto, a questão pode não ser se os grupos de ransomware entrarão no macOS, mas em quanto tempo. “Isso”, pensa Wardle, “é realmente a pergunta de um milhão de dólares”.
Os dispositivos Apple estão preparados para ransomware?
Felizmente para os usuários de Mac, a Apple antecipou este ransomware D-Day, e proativamente ficou à frente dele. Wardle aponta para duas defesas principais já embutidas no sistema operacional.
Em primeiro lugar, diz ele, “os arquivos do sistema estão sob condições somente leitura. Portanto, mesmo que o ransomware obtenha acesso root em um computador, ele ainda não será capaz de modificar esses arquivos críticos e bloquear ou tornar o sistema inoperante.”
O segundo é o TCC — abreviação de Transparência, Consentimento e Controle.
“A ideia é que certos diretórios – por exemplo, o diretório de documentos do usuário, a área de trabalho, os downloads, as pastas do navegador e os cookies – sejam realmente protegidos pelo sistema operacional”, explica Wardle. Se o ransomware encontrar seu caminho para o sistema, “ele vai se deparar com o TCC e não será capaz de acessar os arquivos que deseja criptografar, sem outra exploração ou fazer com que o usuário aprove explicitamente o acesso”.
Há uma ressalva para essa notícia feliz. “A Apple fez um ótimo trabalho implementando mecanismos de segurança, mas”, adverte Wardle, “esses recursos ainda não foram realmente testados e testados. Talvez os hackers comecem a cutucar e encontrem algumas falhas. O TCC, por exemplo, está repleto de desvios basicamente desde o primeiro dia.”
“Seria ingênuo pensar que os invasores não vão melhorar suas técnicas e criar ransomware mais eficaz”, conclui. “Então, eu acho que é realmente ótimo estar falando sobre isso agora.”
FONTE: DARK READING