Apple Ransomware, Ataque de Ransomware em Apple macOS
Primeiro ataque em Apple Ransomware, em sistemas operativos MACOS
Esta imagem desoladora despertou a atenção de alguns utilizadores da Apple. O sistema operativo da Apple já não é imune a ataques de ransomware. Infelizmente, o grupo de ransomware LockBit começou a direcionar-se para os Macs, utilizando os seus mais recentes programas de criptografia ultrarrápida, tornando-se possivelmente o primeiro grupo de ransomware importante a atacar o macOS.
Embora os ataques de ransomware sejam cada vez mais comuns, é a primeira vez que os atacantes desenvolvem versões de malware específicas para os sistemas operativos macOS, OSX e macOS.
Embora os computadores da Apple sejam amplamente utilizados, a sua presença é menor em comparação com outras plataformas como o Windows e o Linux. Durante os meses de novembro e dezembro de 2022, a equipa do MalwareHunterTeam detetou pela primeira vez amostras de encriptadores de ransomware no repositório de análise de malware do VirusTotal.
Análise técnica de Apple Ransomware
O MalwareHunterTeam descobriu um ficheiro ZIP no VirusTotal que aparentemente inclui a maioria dos encriptadores disponíveis do LockBit.
As operações do LockBit tradicionalmente utilizam encriptadores criados para atacar:
- Windows
- Linux
- Servidores VMware ESXi
Além disso, existe um encriptador específico chamado ‘locker_Apple_M1_64‘ que tem como alvo as versões mais recentes dos computadores Apple, especificamente aqueles com o processador Apple Silicon. Inicialmente, os computadores baseados em processadores Intel estão relativamente seguros.
Isso leva a pensar que é mais um bug de hardware do que um bug ou script no sistema operativo macOS.
Durante a análise do encriptador LockBit pelos investigadores da Objective See para Apple M1, foram encontradas strings de texto mal colocadas que sugerem que foi montado rapidamente como um teste e não estava pronto para executar a criptografia no macOS.
No encriptador Apple M1 foram encontradas múltiplas referências ao VMware ESXi, o que é estranho, uma vez que a VMware afirmou anteriormente que não ofereceria suporte para a arquitetura da CPU.
Ao utilizar a utilidade codesign, determinou-se que o encriptador estava assinado de forma “ad hoc”, em vez de utilizar uma identificação de desenvolvedor da Apple.
O ficheiro locker_Apple_M1_64 é um binário arm64 que se beneficia de ter os seus símbolos não removidos, o que o torna mais eficiente.
O encriptador exclui 65 extensões de ficheiros e pastas do Windows da criptografia, especificadas pelos seus nomes de ficheiro.
Como resultado, o macOS impediria a sua execução se fosse descarregado num sistema pelos atacantes, o que foi confirmado pela mensagem de “assinatura inválida” mostrada pela utilidade spctl.
Declarações do Patrick Wardle da Objective See sobre o Ransomware para MAC
“O encriptador do macOS é uma versão compilada do encriptador baseado em Linux com configurações básicas. No entanto, ao ser executado, ocorre uma falha devido a um erro de estouro de buffer no código.”
Embora o macOS esteja agora na mira, o encriptador ainda não está pronto para ser implementado, pois possui apenas sinalizadores básicos de configuração adicionados durante a compilação para macOS.
Antes que o encriptador LockBit possa funcionar, o desenvolvedor precisa encontrar uma forma de contornar o Controle de Acesso a Tarefas (TCC) e obter a aprovação de notarização.
No entanto, o LockBitSupp, representante público da LockBit, afirmou que atualmente estão trabalhando ativamente no desenvolvimento do encriptador para macOS.
Embora não esteja claro quão eficaz o encriptador do macOS poderia ser em ambientes empresariais, é possível que os afiliados da LockBit que visam pequenas empresas e consumidores encontrem mais utilidade nele.
Ataque de Ransomware em Apple macOS – ataque em Apple Ransomware – Análise técnica de Apple Ransomware
Estás a ser vítima de ransomware?
Realizamos um PRÉ-ANÁLISE gratuito e encontramos a melhor solução para ti!
Na LABS 4 Recovery, somos especialistas na resolução de infeções por ransomware e outros tipos de vírus informáticos:
-
Desencriptação de ransomware
-
Desbloqueio de volumes Windows BitLocker
-
Recuperação de palavras-passe esquecidas ou perdidas
-
Remoção de vírus e recuperação de dados danificados
Com mais de 10 anos de experiência e certificações profissionais, a nossa equipa já ajudou empresas nacionais e internacionais a recuperar informações críticas e minimizar o impacto dos ciberataques.
LABS 4 Recovery é especialista em Recuperar Dados de Ransomware – está no nosso ADN
A nossa equipa de profissionais possui certificações reconhecidas e conta com mais de 10 anos de experiência na recuperação de dados encriptados por Ransomware, Sequestro de Dados e Apagamento de Dados.
Como conseguimos ajudar tantas empresas em todo o mundo?
A LABS 4 Recovery é uma empresa com 4 sedes em Espanha e Portugal e está em constante crescimento. Contamos com uma rede de técnicos experientes e de confiança espalhados por todo o mundo. Desta forma, conseguimos chegar a qualquer local onde seja necessário um serviço, ajudando várias empresas em simultâneo, em diferentes projetos, tanto remotos como presenciais.
A nossa própria estrutura não nos limita – adaptamo-nos rapidamente às necessidades de cada cliente, garantindo soluções eficazes e personalizadas.
