Lockbit fidye yazılımı çetesi, Mac'leri ilk kez hedefleyen şifrelemeler oluşturdu ve muhtemelen MacOS'u özel olarak hedefleyen ilk büyük fidye yazılımı operasyonu oldu.
Yeni fidye yazılımı şifrelemeleri, Virustotal'da mevcut kilitbit şifrelemelerinin çoğu gibi görünen bir zip arşivi bulan siber güvenlik araştırmacısı MalwareHunterteam tarafından keşfedildi.
Tarihsel olarak, Lockbit işlemi Windows, Linux ve VMware ESXI sunucularındaki saldırılar için tasarlanmış şifrelemleri kullanır. Bununla birlikte, aşağıda gösterildiği gibi, bu arşiv [Virustotal] macOS, ARM, FreeBSD, MIPS ve SPARC CPU'ları için daha önce bilinmeyen şifrelemeler içeriyordu.
Bu şifrelemeler ayrıca Apple Silikon'da çalışan daha yeni Mac'leri hedefleyen 'Locker_Apple_M1_64' [Virustotal] adlı bir tane içerir. Arşiv ayrıca eski Mac'lerin kullandığı PowerPC CPU'lar için dolaplar içerir.
Siber güvenlik araştırmacısı Florian Roth tarafından yapılan daha fazla araştırma, Aralık 2022'de Virustotal'a yüklenen bir Apple M1 şifrelemesinin bu örneklerin bir süredir yüzdüğünü gösterdi.
BleepingComputer, Apple M1 için Lockbit şifrelemesindeki dizeleri analiz etti ve bir macOS şifrelemesinde yerinde olmayan dizeler buldu, bu da bunların muhtemelen bir testte bir araya geldiğini gösterdi.
Örneğin, VMARE'in CPU mimarisini desteklemeyeceklerini açıkladığı gibi, bir Apple M1 şifrelemesinde yer alan VMware ESXI'ye çok sayıda referans var.
Ayrıca, şifreleme, hepsi Windows dosya uzantıları ve klasörler olan şifrelemeden hariç tutulacak altmış beş dosya uzantısı ve dosya adlarının bir listesini içerir.
Windows dosyalarının küçük bir snippet'i Apple M1 şifrelemesinin şifrelemeyeceği, hepsi bir macOS cihazında yerinde değil, aşağıda listelenmiştir.
ESXI ve Windows dizelerinin neredeyse tamamı MIP'lerde ve FreeBSD şifrelemelerinde de bulunur, bu da paylaşılan bir kod tabanı kullandıklarını gösterir.
İyi haber şu ki, bu şifrelemeler muhtemelen MacOS cihazlarına yönelik gerçek saldırılarda konuşlandırılmaya hazır değiller.
Cisco Talos araştırmacısı Azim Khodjibaev, BleepingComputer'a araştırmalarına dayanarak, şifrelemelerin bir test anlamına geldiğini ve hiçbir zaman canlı siber saldırılarda konuşlandırılmaya yönelik olmadığını söyledi.
MacOS siber güvenlik uzmanı Patrick Wardle, BleepingComputer ve Cisco'nun teorisini, bunların geliştirme/test yapıları olduğunu ve şifrelemenin Mac'leri düzgün bir şekilde şifrelemek için gerekli işlevselliği eksik olduğu için tam olmaktan uzak olduğunu belirtti.
Bunun yerine Wardle, BleepingComputer'a MacOS şifrelemesinin Linux sürümüne dayandığına ve bazı temel yapılandırma ayarlarına sahip macOS için derlendiğine inandığını söyledi.
Ayrıca Wardle, macOS şifrelemesi başlatıldığında, kodundaki bir tampon taşma hatası nedeniyle çöktüğünü söyledi.
"Görünüşe göre macOS şimdi radarlarında ... ama macOS için derlemekten ve temel bir yapılandırma eklemek (sadece temel bayraklar ... MacOS'a özgü değil) bu, konuşlandırmaya hazır olmaktan uzaktır. "Wardle, BleepingComputer'a söyledi.
Wardle ayrıca, Lockbit geliştiricisinin fonksiyonel bir şifreleme olmadan önce "TCC'yi nasıl atlayacağını, noterleneceğini nasıl bulacağını" paylaştı.
Wardle tarafından yeni MAC şifreleyicisi üzerinde yapılan ayrıntılı bir teknik analiz objektif bkz.
Windows fidye yazılımı saldırılarında en hedefli işletim sistemi olmasına rağmen, hiçbir şey geliştiricilerin Mac'leri hedefleyen fidye yazılımı oluşturmasını engellemez.
Bununla birlikte, Lockbit işleminin fidye yazılımı geliştirmesinde zarfı ittiği için bilindiğinden, gelecekte yayınlanan bu CPU mimarileri için daha gelişmiş ve optimize edilmiş şifreleyiciler görmek şaşırtıcı olmayacaktır.
Bu nedenle, Mac sahipleri de dahil olmak üzere tüm bilgisayar kullanıcıları, işletim sistemini güncel tutmak, bilinmeyen ekleri ve yürütülebilir ürünleri açmak, çevrimdışı yedeklemeler oluşturmak ve ziyaret ettiğiniz her sitede güçlü ve benzersiz şifreler kullanmak da dahil olmak üzere iyi çevrimiçi güvenlik alışkanlıkları uygulamalıdır.
GÜNCELLEME 4/16/23: Lockbitsupp olarak bilinen Lockbit'in halka açık temsilcisi BleepingComputer'ın sorularına yanıt olarak, MAC şifrelemesinin "aktif olarak geliştirildiğini" söyledi.
Lockbit'in güvenlik araştırmacıları ve medya ile oynama geçmişi olsa da, doğruysa, gelecekte daha fazla üretim kalitesinde versiyonlar göreceğiz.
Dahası, bir macOS şifrelemesinin işletmede ne kadar yararlı olacağı açık olmasa da, bazı Lockbit iştirakleri tüketicileri ve küçük işletmeleri hedeflemektedir, burada böyle bir şifrelemenin daha yararlı olabileceği
Apple Düzeltmeleri Son zamanlarda eski iPhone'larda ve iPad'lerde sıfır günleri açıkladı
Apple, iPhone'ları ve Mac'leri hacklemek için sömürülen iki sıfır günü düzeltiyor
Ransomware'de Hafta - 24 Mart 2023 - Clop aşırı yükü
Lockbit Fidye Yazılımı Çetesi artık City of Oakland Breach'i de iddia ediyor
LA Konut İdaresi Fidye Yazılımı saldırısından sonra veri ihlalini açıklar
Kaynak: Bleeping Computer