BloquearBit, una infame banda de ransomware que se convirtió en un importante actor de amenazas en los últimos dos años, lanzó la variante de su ransomware para macOS. Previamente, este sistema se consideró seguro contra ransomware, ya que ninguna muestra conocida estaba dirigida específicamente a él. Actualmente, El producto de LockBit se considera el primer ransomware que infringe esa regla.
¿Qué es la pandilla LockBit??
El grupo LockBit es actualmente una banda líder de actores de amenazas que han difundir ransomware del mismo nombre desde 2019. A lo largo de toda su vida, están constantemente actualizando su malware, haciéndolo más resistente a cualquier contramedida. El grupo también es importante por su personalidad mediática. Nunca tienen reparos en dar entrevistas y discutir algo en foros.. Después de la Conti group dissolution en 2022, LockBit se convirtió en líder del mercado, anotando una parte de más 40% de todos los ataques en algún momento. Este número fluctúa, pero aún queda la nominación de la banda de ciberdelincuentes más exitosa.
La clave que da éxito a LockBit es su ransomware y su software auxiliar utilizado en los ciberataques.. en complejo, estos programas proporcionan una seguridad, forma rápida y confiable de cifrar y filtrar archivos. Al principio, su software de ransomware y exfiltración de datos ya era el más rápido. Pero con el tiempo y las actualizaciones., Los piratas informáticos lo hicieron aún más rápido.. De hecho, Ningún ejemplo de ransomware de uso masivo es ni siquiera casi compatible, y only one known sample – Rorschach ransomware – puede presumir de un cifrado más rápido. Las actualizaciones no solo traen un cifrado más rápido & exfiltración, pero también actualizaciones de la infraestructura de red y programas de recompensas por errores..
El primer ransomware para macOS de LockBit
Por mucho tiempo, macOS fue considerado un espacio a salvo del malware. Seguramente, Hubo cosas menores como adware o secuestradores de navegador., que residían en los navegadores, pero no dependen del sistema operativo. Malware “grave”, como software espía, puertas traseras y ransomware eran inexistentes. Teóricamente, Algunas muestras de malware dirigidas a sistemas *NIX podrían ejecutarse en macOS (ya que es compatible), pero no fueron diseñados específicamente para atacarlo. pero en Abril 16, 2023, apareció la noticia sobre la variante de LockBit dirigida a macOS.
"casillero_Apple_M1_64": 3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79
Todo lo que puedo decir, this is the first Apple's Mac devices targeting build of LockBit ransomware sample seen…
¿También es esta la primera vez para el "gran nombre" pandillas?
🤔@patrickwardle
cc @cyb3rops pic.twitter.com/SMuN3Rmodl— MalwareHunterEquipo (@malwrhunterteam) Abril 15, 2023
El hecho de que el sistema anteriormente invencible descendió del panteón y ahora está junto a los mortales. inició un huracán de discusiones. Los fines de semana, cuando sucedió, la gente se volvió loca con sus expectativas., creando más y más versiones de lo que es capaz de hacer y cómo funciona. LockBit ellos mismos, sin embargo, solo confirmó tener una variante macOS recientemente desarrollada de su ransomware.
¿Qué sucede realmente??
Detrás de la enorme reacción mediática, se escaparon muchos detalles interesantes. Generalmente están disponibles durante el análisis de la muestra.. Este último parece pasar completamente desapercibido para los proveedores que figuran en VirusTotal., y apunta a sistemas ARM. En tan solo un día han corregido este fallo – al menos algunos de ellos, aunque. Sin embargo, Un análisis más detallado de la muestra muestra que LockBit logró compilarlo para muchas otras plataformas, como PowerPC., ARMv5/v6/v7, linux, FreeBSD e incluso SPARC. De hecho, Toda la línea de productos Apple está en riesgo ahora: desde computadoras hasta tabletas y teléfonos celulares.. Incluso el legado, Sistemas basados en PowerPC, no son seguros.
La muestra exacta se niega a analizarse de forma normal., ya que carece de una firma válida de ID de desarrollador de Apple. Para hacerlo funcionar, Lo más probable es que los piratas informáticos utilicen un comando de consola específico., que les permita sortear las restricciones. La muestra está cifrada con XOR y presenta un par de trucos antianálisis. En particular, Obliga al entorno de depuración a detenerse si el malware detecta uno.. Aún, después de un análisis profundo Los analistas notaron muchas fallas presentes en esta versión de LockBit.. El malware es propenso a errores de desbordamiento del búfer, y la mayoría de sus medidas antianálisis pueden bloquearse fácilmente.
¿Es peligroso el ransomware LockBit para macOS??
Con seguridad, es. A pesar de ser menos que ideal en su versión actual, así será en el futuro, no tengo ninguna duda al respecto. LockBit Gang nunca sobreestima sus capacidades de malware y hará todo lo posible para solucionar todo lo que los analistas han encontrado hasta ahora.. Además, otras pandillas pueden tomar este caso como ejemplo y liberar sus propios puertos. Es una amenaza bastante pequeña para macOS por el momento., pero puede terminar en un paradigma completamente nuevo.
Tener malware basado en macOS es una amenaza no solo por la novedad de este tipo de amenazas, sino también por la ausencia de contramedidas. De hecho, No están totalmente ausentes: existen varias soluciones de software antimalware para macOS.. Sin embargo, tienen una cobertura baja que no supone ningún obstáculo para el malware.. Además, Estas soluciones tienen baja capacidad contra amenazas avanzadas., como LockBit ransomware, haciendo que la protección sea aún menos efectiva. El único consejo ahora es implementar medidas proactivas de contraataque, que no permitan que el malware llegue al sistema en absoluto..
Cómo protegerte?
Afortunadamente, Las medidas contra el ransomware LockBit son multiplataforma. Hackers de LockBit comúnmente utilizan vulnerabilidades de red para abrirse camino a la red e infectarla. Puede practica con cortafuegos u otras medidas restrictivas, pero los delincuentes encontraron la manera de eludirlos. Soluciones avanzadas, como detección y respuesta de red, encajará mejor para ese caso. No siempre requieren tener la parte cliente instalada en cada sistema, que influyen en la supervisión general del tráfico de la red. Los sistemas de detección y el registro exhaustivo hacen que sea mucho más fácil detener la amenaza y prepararse para posibles intrusiones en el futuro..