Печально известный вирус-вымогатель LockBit начали портировать на macOS

Исследователи в сфере кибербезопасности обнаружили новую версию вируса-вымогателя LockBit, предназначенную для работы на macOS — это первый случай, когда крупная хакерская группировка решила вторгнуться в экосистему Apple.

LockBit — один из наиболее известных вирусов-вымогателей, фигурировавший в нескольких крупных инцидентах. Первым свидетельством того, что одноимённая хакерская группировка начала экспериментировать с платформой macOS, стала публикация экземпляра в репозитории MalwareHunterTeam от 15 апреля. Вскоре после этого исследователи ресурса vx-underground выяснили, что вариант для компьютеров Apple появился не позднее 11 ноября 2022 года.

Как оказалось, бить тревогу ещё рано: вирус пока не готов для полномасштабной атаки, и его появление следует воспринимать скорее как декларацию о намерениях хакерской группировки начать работу по Apple. В существующем варианте это скорее вредонос для Windows, грубо портированный на macOS. При его распаковке в коде обнаружены строки с артефактами Windows, в том числе ссылки на файлы autorun.inf и ntuser.dat.log, но уже есть и переменная с именем apple_config. Один из экспертов также описал значительную часть кода как написанную для Linux, а впоследствии портированную под macOS. В подписи к файлу оказалось обозначение «ad-hoc», которое в «боевой» версии вируса будет заменено на краденный идентификатор разработчика Apple.

Специализирующиеся на вирусах-вымогателях группировки до настоящего момента не разрабатывали вредоносного ПО под macOS — их целями были организации и частные компании, чьи инфраструктуры составляют преимущественно рабочие станции под Windows. Однако присутствие устройств Apple в корпоративной среде постепенно увеличивается: по данным на 2021 год, испытывающие потребность в планшетах предприятия всё чаще закупают iPad, iPhone отвоевали уже около 50 % всех смартфонов в корпоративной среде, а «среднее проникновение» компьютеров под macOS на предприятиях составило около 23 %, а двумя годами ранее этот показатель был 17 %.

В Apple предвидели такой вариант развития событий и приняли некоторые меры защиты системы. Системные файлы macOS доступны только для чтения — даже при наличии root-доступа вредонос их изменить не сможет. А система TCC (Transparency, Consent, Control) обеспечивает дополнительную защиту важнейших каталогов. Это значит, что без дополнительных средств вирус не сможет зашифровать важные для пользователя файлы — ему нужна будет уязвимость в macOS или явное подтверждение доступа от пользователя. Проблема в том, что эти средства защиты пока не проверялись в полномасштабных атаках, и если хакеры начнут работать в полную силу, у них есть шанс найти какие-то бреши в безопасности.