- macOS wordt geconfronteerd met een opkomende ransomware-dreiging, NotLockBit
- NotLockBit-malware demonstreert mogelijkheden voor het vergrendelen van bestanden
- De ingebouwde bescherming van Apple biedt problemen als gevolg van evoluerende ransomware-bedreigingen
Jarenlang, ransomware De aanvallen zijn vooral gericht op Windows- en Linux-platforms, maar cybercriminelen beginnen hun aandacht te verleggen naar macOS-gebruikers, beweren experts.
De recente ontdekking van macOS.NotLockBit suggereert een verschuiving in het landschap, zoals onlangs is vastgesteld malwaregenoemd naar de beruchte LockBit-variant, zou het begin kunnen markeren van serieuzere ransomwarecampagnes tegen Mac-gebruikers.
Ontdekt door onderzoekers van Trend Micro en later geanalyseerd door SentinelLabsmacOS.NotLockBit biedt geloofwaardige mogelijkheden voor het vergrendelen van bestanden en het onderscheppen van gegevens, wat een potentieel risico vormt voor macOS-gebruikers.
macOS.NotLockBit-bedreiging
Ransomware die zich op Mac-apparaten richt, beschikt vaak niet over de noodzakelijke tools om bestanden echt te vergrendelen of gegevens te exfiltreren. De algemene perceptie is dat macOS beter beschermd is tegen dit soort bedreigingen, deels dankzij Appel’s ingebouwde beveiligingsfuncties, zoals transparantie, toestemming en controle (TCC) -beveiligingen. De opkomst van macOS.NotLockBit geeft echter aan dat hackers actief bezig zijn met het ontwikkelen van geavanceerdere methoden om Apple-apparaten aan te vallen.
macOS.NotLockBit functioneert op dezelfde manier als andere ransomware, maar richt zich specifiek op macOS-systemen. De malware draait alleen maar door Intel-gebaseerde Macs of Apple silicium Macs waarop Rosetta-emulatiesoftware is geïnstalleerd, waardoor x86_64 binaire bestanden kunnen worden uitgevoerd op nieuwere Apple-processors.
Bij uitvoering verzamelt de ransomware systeeminformatie, waaronder de productnaam, versie en architectuur. Het verzamelt ook gegevens over hoe lang het systeem actief is geweest sinds de laatste herstart. Voordat de bestanden van de gebruiker worden vergrendeld, probeert macOS.NotLockBit gegevens naar een externe server te exfiltreren met behulp van Amazone Web Services (AWS) S3-opslag. De malware gebruikt een openbare sleutel voor asymmetrisch encryptiewat betekent dat decodering zonder de privésleutel van de aanvaller vrijwel onmogelijk is.
De malware plaatst een README.txt-bestand in mappen met gecodeerde bestanden. De gecodeerde bestanden zijn gemarkeerd met de extensie “.abcd”, en de README instrueert de slachtoffers hoe ze hun bestanden kunnen herstellen, meestal door losgeld te betalen. Bovendien geeft macOS.NotLockBit in latere versies van de malware een bureaubladachtergrond met LockBit 2.0-thema weer, waarbij de branding van de LockBit-ransomwaregroep wordt overgenomen.
Gelukkig blijven de TCC-beveiligingen van Apple een harde noot voor macOS.NotLockBit om te kraken. Deze beveiligingen vereisen toestemming van de gebruiker voordat toegang wordt verleend tot gevoelige mappen of controle over processen zoals systeemgebeurtenissen mogelijk wordt gemaakt. Hoewel dit een obstakel vormt voor de volledige functionaliteit van de ransomware, is het omzeilen van de TCC-bescherming niet onoverkomelijk, en beveiligingsexperts verwachten dat toekomstige versies van de malware manieren zullen ontwikkelen om deze waarschuwingen te omzeilen.
Onderzoekers van SentinelLabs en Trend Micro hebben nog geen specifieke distributiemethode geïdentificeerd en er zijn op dit moment geen slachtoffers bekend. De snelle evolutie van de malware, zoals blijkt uit de toenemende omvang en verfijning van elk nieuw exemplaar, geeft echter aan dat de aanvallers actief werken aan het verbeteren van de mogelijkheden ervan.
SentinelLabs heeft meerdere versies van de malware geïdentificeerd, wat erop wijst dat macOS.NotLockBit nog steeds in actieve ontwikkeling is. Vroege monsters leken lichter qua functionaliteit en waren uitsluitend gericht op encryptie. Latere versies voegden mogelijkheden voor data-exfiltratie toe en begonnen AWS S3-cloudopslag te gebruiken om gestolen bestanden te exfiltreren. De aanvallers hebben AWS-gegevens hardgecodeerd in de malware om nieuwe opslagplaatsen te creëren voor het opslaan van slachtoffergegevens, hoewel deze accounts inmiddels zijn gedeactiveerd.
In een van de meest recente versies vereist macOS.NotLockBit macOS Sonoma, wat aangeeft dat de malware-ontwikkelaars zich richten op enkele van de nieuwste macOS-versies. Het toonde ook pogingen om code te verdoezelen, wat erop wijst dat de aanvallers verschillende technieken testen om detectie te omzeilen antivirusprogramma software.
