Encuentran cifradores de peligroso ransomware dirigidos a dispositivos Mac
La banda de ransomware LockBit ha creado cifradores dirigidos a Mac por primera vez, probablemente convirtiéndose en la primera operación de ransomware importante que se dirige específicamente a macOS.
Los nuevos cifradores de ransomware fueron descubiertos por el investigador de seguridad cibernética MalwareHunterTeam. MalwareHunterTeam encontró un archivo ZIP en VirusTotal que contenía lo que parece ser la mayoría de los cifradores de LockBit disponibles.
Históricamente, la banda LockBit usa cifradores diseñados para ataques en servidores Windows, Linux y VMware ESXi. Sin embargo, como se muestra a continuación, este archivo [VirusTotal] también contenía cifradores previamente desconocidos para CPUs macOS, ARM, FreeBSD, MIPS y SPARC.
Estos cifradores también incluyen uno llamado ‘locker_Apple_M1_64’ [VirusTotal] que apunta a las Mac más nuevas que se ejecutan en Apple Silicon. El archivo también contiene bloqueadores para CPUs PowerPC, que usan las Mac más antiguas.
La investigación adicional del investigador de seguridad cibernética Florian Roth encontró un cifrador Apple M1 cargado en VirusTotal en diciembre de 2022. Esto indica que estas muestras han estado en el entorno durante algún tiempo.
Posibles compilaciones de prueba
Expertos analizaron las cadenas en el cifrador de LockBit para Apple M1 y encontraron cadenas que están fuera de lugar en un cifrador macOS, lo que indica que probablemente se juntaron al azar en una prueba.
Por ejemplo, existen numerosas referencias a VMware ESXi, que está fuera de lugar en un cifrador para Apple M1. Es importante recordar que VMware anunció que no sería compatible con la arquitectura de la CPU.
_check_esxi
esxi_
_Esxi
_kill_esxi_1
_kill_esxi_2
_kill_esxi_3
_kill_processes
_kill_processes_Esxi
_killed_force_vm_id
_listvms
_esxcfg_scsidevs1
_esxcfg_scsidevs2
_esxcfg_scsidevs3
_esxi_disable
_esxi_enableAdemás, el cifrador contiene una lista de sesenta y cinco extensiones de archivos y nombres de archivos que se excluirán del cifrado, todos ellos extensiones de archivos y carpetas de Windows.
A continuación se muestra un pequeño fragmento de los archivos de Windows que el cifrador para Apple M1 no cifrará. En otras palabras, está fuera de lugar en un dispositivo macOS.
.exe
.bat
.dll
msstyles
gadget
winmd
ntldr
ntuser.dat.log
bootsect.bak
autorun.inf
thumbs.db
iconcache.dbCasi todas las cadenas de ESXi y Windows también están presentes en los cifradores para MIP y FreeBSD, lo que indica que utilizan una base de código compartida.
La buena noticia es que es probable que estos cifradores no estén listos para implementarse en ataques reales contra dispositivos macOS.
El investigador de Cisco Talos, Azim Khodjibaev dijo que según su investigación, los cifradores estaban destinados a ser una prueba y nunca estuvieron destinados a implementarse en ataques cibernéticos en vivo.
El experto en ciberseguridad de macOS, Patrick Wardle, confirmó además la teoría de los expertos y Cisco de que se trata de compilaciones en desarrollo/prueba. Él afirmó que el cifrador está lejos de estar completo, ya que le falta la funcionalidad necesaria para cifrar Mac correctamente.
Cifradores funcionales a futuro
En cambio, Wardle dijo que cree que el cifrado de macOS se basa en la versión de Linux y está compilado para macOS con algunos ajustes de configuración básicos.
Además, Wardle dijo que cuando se inicia el cifrador de macOS, se bloquea debido a un error de desbordamiento de búfer en su código.
“Parece que macOS ahora está en su radar… pero aparte de compilarlo para macOS y agregar una configuración básica (que son solo indicadores básicos… no específicos de macOS per se), esto está lejos de estar listo para su implementación. Patrick Wardle, experto en ciberseguridad.
Wardle compartió además que el desarrollador de LockBit primero debe “descubrir cómo eludir TCC, certificarse ante un notario” antes de convertirse en un cifrador funcional.
Puedes encontrar un análisis técnico detallado realizado por Wardle sobre el nuevo cifrador de Mac en Objective See.
Si bien Windows ha sido el sistema operativo más afectado en ataques de ransomware, nada impide que los desarrolladores creen ransomware dirigido a Mac.
Sin embargo, dado que la bandaLockBit es conocida por ir más allá en el desarrollo de ransomware, no sería sorprendente ver cifradores más avanzados y optimizados para estas arquitecturas de CPU en el futuro.
Por lo tanto, todos los usuarios de computadoras, incluidos los propietarios de Mac, deben practicar buenos hábitos de seguridad en línea. Por ejemplo, mantener el sistema operativo actualizado, evitar abrir archivos adjuntos y ejecutables desconocidos. Asimismo, generar copias de seguridad sin conexión y usar contraseñas seguras y únicas en cada sitio que visiten.
En respuesta a las preguntas de los medios, el representante público de LockBit, conocido como LockBitSupp, dijo que el cifrador de Mac se está “desarrollando activamente”.
Si bien LockBit tiene un historial de jugar con los investigadores de seguridad y los medios, si es cierto, probablemente veremos más versiones con calidad de producción en el futuro.
Además, si bien no está claro qué tan útil sería un cifrador de macOS en la empresa, algunos afiliados de LockBit se dirigen a consumidores y pequeñas empresas, donde un cifrador como este podría ser más útil.
