LockBit-ransomware richt zich nu ook op Mac-apparaten
Beveiligingsonderzoeker Patrick Wardle ontdekte dat de LockBit-groep voor het eerst ransomware ontwikkelde die op macOS werkt.
LockBit-ransomware wordt normaliter ontwikkeld voor Windows en Linux. Het is de eerste keer dat beveiligingsonderzoekers stuiten op ransomware van de groep die voor macOS werd ontwikkeld. Of de ransomware ook daadwerkelijk schadelijk is? Nee, concludeert Wardle: hoewel de ransomware is ontwikkeld voor macOS, crasht de software tijdens het draaien. Bovendien is de handtekening in het softwarepakket ongeldig en zouden de beveiligingsmechanismen in macOS niet in acht zijn genomen bij het ontwikkelen van de ransomware.
Impact op macOS: ‘Nul’
De ransomware heeft momenteel toestemming van de gebruiker of een bestaande exploit nodig om bestanden te vergrendelen. Zodoende is de impact op Mac-gebruikers momenteel nul, zegt Wardle. Beveiligingswebsite Bleeping Computer sluit zich aan bij de bevindingen van de onderzoeker. In een door VirusTotal gescand ZIP-bestand vonden zij een aantal recente LockBit-encryptiesleutels. Onder dat aanbod vonden zij ook Apple M1 en PowerPC-encryptiesleutels.
Ze achterhaalden dat de LockBit-sleutels referenties maakten naar VMware ESXi, dat niet op Apple’s M1-architectuur kan draaien. Ook vonden ze een lijst met Windows-bestanden die de software niet moest vergrendelen. Wederom een bevestiging dat de ransomware niet werd gemaakt voor macOS. Wardle vermoed dat de macOS-encyptiesoftware is gebaseerd op de Linux-versie met enkele basale wijzigingen voor Mac-apparaten.
Ransomware as a Service
Een woordvoerder van LockBit genaamd ‘LockBitSupp’ bevestigde tegenover Bleeping Computer dat de ransomware voor macOS in ontwikkeling is. Het lijkt daarmee verzekerd dat Mac-apparaten in de toekomst geraakt kunnen worden door de ransomware. Digitale hygiëne, zoals het uitvoeren van de noodzakelijke back-ups en het regelmatig bijwerken van software, zijn daarom ook zeker van toepassing op macOS.
Te meer omdat de LockBit-groep het gebruik van zijn ransomware kinderlijk gemakkelijk maakt. De ransomware wordt namelijk als dienst, ofwel Ransomware as a Service, aangeboden. Een kwaadwillende partij hoeft zodoende geen kennis over ransomware te bezitten om bedrijven aan te vallen en geldsommen binnen te harken.