0
0
Não é nenhuma surpresa que os computadores Apple Mac tenham se tornado alvos de ataques premiados nos últimos anos, mas o número de agentes de ameaças da Dark Web que perseguem o macOS está aumentando em um ritmo alarmante. A unidade de inteligência de ameaças da Accenture relatou na segunda-feira um aumento de dez vezes nos agentes de ameaças da Dark Web direcionados a Macs desde 2019, grande parte nos últimos 18 meses.
As descobertas vêm da Accenture Cyber Threat Intelligence (ACTI) e seus esforços de reconhecimento da Dark Web. Enquanto os agentes de ameaças historicamente direcionaram seus ataques a dispositivos Windows e Linux, a equipe ACTI observou uma vasta comunidade da Dark Web de invasores qualificados que estão de olho nos Macs.
Thomas “Mannie” Willkan, consultor de inteligência de ameaças cibernéticas do ACTI da Accenture que monitora a atividade da Dark Web, disse ao Dark Reading que os agentes de ameaças tradicionalmente ignoram o macOS. “Era mais lucrativo e mais fácil segmentar o Windows e o Linux, mas agora eles mudaram o escopo”, diz Willkan. “Acho que, em parte, é porque eles estão constantemente inovando e tentando ficar à frente das medidas de segurança. Mas também porque agora há um incentivo econômico para atingir o Mac.”
Os Macs corporativos geralmente são mais vulneráveis porque as organizações não aplicam o mesmo acesso condicional e outras políticas impostas aos dispositivos Windows, diz Jason Dettbarn, CEO da Addigy, que fornece uma plataforma de gerenciamento macOS e iOS. Dettbarn diz que os CISOs estão cada vez mais adotando uma postura mais proativa em relação à segurança dos Macs.
“Mesmo que a Apple seja mais segura, os CISOs querem ter certeza de que estão executando os mesmos processos do Windows”, diz Dettbarn. As organizações têm lutado para corrigir os dispositivos da Apple com o mesmo processo que atualizam os PCs com Windows, acrescenta ele. Dettbarn está se referindo especificamente ao Rapid Security Responses para iOS, iPadOS e macOS, a nova abordagem da Apple para fornecer atualizações de software, lançada em maio de 2023.
“A resposta rápida de segurança é considerada o patch mais necessário, o que significa que você pode assumir que está sendo explorado ativamente”, diz Dettbarn. “Todo CISO que conheço diz ‘Não estamos aplicando um patch a menos que tenhamos uma divulgação pública do que é.'”
Ataques e grupos proeminentes
Os Macs agora atraem alguns dos agentes de ameaças mais conhecidos, incluindo o LockBit 3.0, que a ACTI diz estar criando variedades específicas de ransomware, enquanto novos grupos também estão direcionando seu foco para a exploração do macOS. Por exemplo, o ACTI diz que o grupo Monti afirma ter uma versão reescrita do armário de ransomware EXSI da Conti que pode implantar operadores que remontam ao REvil de 2019.
A ACTI observou explorações para Macs que são vendidos com um prêmio em relação aos que visam PCs com Windows. Por exemplo, a ACTI encontrou um ator de ameaça que ofereceu US$ 500.000 em dezembro de 2022 para um bypass ou exploits do macOS Gatekeeper.
O diretor-gerente de serviços globais de resposta cibernética e transformação da Accenture, Rob Boyce, aponta para um número crescente de “agentes qualificados” com sofisticadas ferramentas de ataque baseadas em macOS. O agente de ameaças anunciou Apple Enterprise Certificates que podem ignorar o macOS Gatekeeper, que se tornou “um serviço altamente desejável para agentes de ameaças focados no macOS”, escreve Boyce.
Boyce aponta que o grupo de segurança MalwareHunterTeam descobriu que o LockBit 3.0 estava desenvolvendo ransomware direcionado ao macOS. “Embora a versão fosse cheia de bugs, inacabada e imperfeita, o LockBit 3.0 confirmou, por meio de seu apelido underground ‘LockBitSupp’, que estava desenvolvendo-o ativamente”, observa Boyce, acrescentando que é o primeiro grupo de ransomware estabelecido e confirmado visando o macOS com um “sob medida ” estirpe ransomware.
A Accenture também descobriu que um conhecido agente de acesso inicial ligado aos grupos de ransomware Conti e REvil comprou e testou o malware XLoader em 2022, que opera no macOS. A Accenture prevê que o crescimento de agentes de ameaças direcionados a Macs continuará em 2024 e além.
Expansão do uso do Enterprise Mac
O incentivo econômico é o aumento da presença de Macs na força de trabalho. De acordo com o relatório Worldwide Quarterly Computing Device Tracker de julho de 2023 da IDC , os Macs cresceram para uma participação de 8,6% no mercado de PCs no segundo trimestre, ante 6,8% no mesmo período do ano anterior.
O crescimento dos Macs também resultou em mais ladrões de informações específicos do macOS, cavalos de Tróia de acesso remoto, carregadores e dias zero, diz Willkan. A ACTI diz que também observou agentes de ameaças da Dark Web vinculados a corretores de acesso inicial e grupos potencialmente de extorsão de dados, alegando ter adquirido ladrões de informações baseados em macOS.
“Muitos usuários privados e muitas indústrias ainda têm essa falsa sensação de segurança quando usam Mac porque disseram a eles que você não pode ser afetado por um vírus se estiver em um Mac. E eu acho os criminosos estão contando com essa noção.”
FONTE: DARKREADING