Ransomware LockBit per MacOS: allarme in casa Apple

Nelle ultime ore, i ricercatori di MalwareHunterTeam hanno rilevato una build LockBit per MacOS.

Secondo gli esperti, questa sarebbe in assoluto la prima volta che un ransomware viene progettato appositamente per infettare i dispositivi Apple, per di più da una cybergang di rilevanza internazionale come LockBit.

Tutto lascia presagire che nei prossimi mesi assisteremo a una preoccupante ed inesorabile escalation di attacchi ransomware contro i dispositivi Mac.

Ma perché la notizia ha destato così tanta preoccupazione e, soprattutto, che caratteristiche ha questo nuovo ransomware per Apple?

LockBit: tra i ransomware più pericolosi di sempre

Di matrice est-europea, il ransomware LockBit deve la sua forza a una rete di commercializzazione RaaS con diramazioni in tutto il globo.

Notoriamente indirizzato a Sistemi Operativi come Windows, Linux e VMware ESXi (software per la virtualizzazione di ambienti operativi), è diventato pian piano una delle minacce più temute a livello globale.

Basti pesare che, dal 2019 ad oggi, sono 2200 le offensive cibernetiche andate a buon fine, con particolare predilezione per vittime nel terzo settore. Tra gli esempi più illustri, la società di consulenza leader di mercato Accenture.

Vediamo quindi quali sono le implicazioni di questa nuova minaccia per sistema operativo Mac.

Le specifiche della versione LockBit per MacOS

Rintracciata in un file ZIP caricato su VirusTotal negli scorsi giorni, la variante LockBit per MacOS è presente nell’archivio con denominazione “locker_Apple_M1_64”.

Si tratta della build che ha destato più preoccupazione, poiché specificamente rivolta ai dispositivi Apple con chip Mac M1, ovvero i più recenti.

Tuttavia, non mancano varianti per CPU PowerPC (supportata dai vecchi Mac) o addirittura per altre architetture e Sistemi Operativi, come: ARM, FreeBSD, SPARC e MIPS.

Pare, inoltre, che i file in questione siano stati caricati già a dicembre 2022, riuscendo a passare inosservati per ben quattro mesi.

Dalle rilevazioni è emerso che le build nel mirino sono semplici esempi di test, implementati a partire dai ben più rinomati modelli del ransomware per Windows e Linux.

Per tale ragione, soprattutto nell’eseguibile per M1, sono stati evidenziati vistosi bug d’implementazione, tra cui:

riferimenti a VMware ESXi
file di crittografia con estensione per Windows, e quindi inutilizzabili su Mac
firma non valida, che consente ai dispositivi di riconoscere e bloccare sul nascere l’infezione

Ancor più rilevante, il fatto che queste build sembra non siano state commercializzate attivamente dagli hacker. Il che confermerebbe l’ipotesi che di tratti di semplici codici di prova.

Insomma, almeno a questo stadio, non c’è alcun rischio di minaccia concreta.

Eppure, questi test preliminari dimostrano come una delle bande di RaaS più spietate al mondo sia pronta a inaugurare una nuova stagione di attacchi ransomware contro i device Apple.

Resta quindi da chiedersi, come farà la casa di Cupertino, una volta entrata nell’occhio del ciclone, a preservare la proverbiale sicurezza dei propri dispositivi?

Autore articolo
Gli ultimi articoli

Maurizio Funnone

Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.

Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.

Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.

A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.

Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.