Table of Contents
ToggleApple Ransomware, ataques de ransomware em Macs
Primeiro ataque em Apple Ransomware, em sistemas operativos
Esta imagem desoladora despertou a atenção de alguns utilizadores da Apple. O sistema operativo da Apple já não é imune a ataques de ransomware. Infelizmente, o grupo de ransomware LockBit começou a direcionar-se para os Macs, utilizando os seus mais recentes programas de criptografia ultrarrápida, tornando-se possivelmente o primeiro grupo de ransomware importante a atacar o macOS.
Embora os ataques de ransomware sejam cada vez mais comuns, é a primeira vez que os atacantes desenvolvem versões de malware específicas para os sistemas operativos macOS, OSX e macOS.
Embora os computadores da Apple sejam amplamente utilizados, a sua presença é menor em comparação com outras plataformas como o Windows e o Linux. Durante os meses de novembro e dezembro de 2022, a equipa do MalwareHunterTeam detetou pela primeira vez amostras de encriptadores de ransomware no repositório de análise de malware do VirusTotal.
Análise técnica de Apple Ransomware
O MalwareHunterTeam descobriu um ficheiro ZIP no VirusTotal que aparentemente inclui a maioria dos encriptadores disponíveis do LockBit.
As operações do LockBit tradicionalmente utilizam encriptadores criados para atacar:
- Windows
- Linux
- Servidores VMware ESXi
Além disso, existe um encriptador específico chamado ‘locker_Apple_M1_64‘ que tem como alvo as versões mais recentes dos computadores Apple, especificamente aqueles com o processador Apple Silicon. Inicialmente, os computadores baseados em processadores Intel estão relativamente seguros.
Isso leva a pensar que é mais um bug de hardware do que um bug ou script no sistema operativo macOS.
Durante a análise do encriptador LockBit pelos investigadores da Objective See para Apple M1, foram encontradas strings de texto mal colocadas que sugerem que foi montado rapidamente como um teste e não estava pronto para executar a criptografia no macOS.
No encriptador Apple M1 foram encontradas múltiplas referências ao VMware ESXi, o que é estranho, uma vez que a VMware afirmou anteriormente que não ofereceria suporte para a arquitetura da CPU.
Ao utilizar a utilidade codesign, determinou-se que o encriptador estava assinado de forma “ad hoc”, em vez de utilizar uma identificação de desenvolvedor da Apple.
O ficheiro locker_Apple_M1_64 é um binário arm64 que se beneficia de ter os seus símbolos não removidos, o que o torna mais eficiente.
O encriptador exclui 65 extensões de ficheiros e pastas do Windows da criptografia, especificadas pelos seus nomes de ficheiro.
Como resultado, o macOS impediria a sua execução se fosse descarregado num sistema pelos atacantes, o que foi confirmado pela mensagem de “assinatura inválida” mostrada pela utilidade spctl.
Declarações do Patrick Wardle da Objective See sobre o Ransomware para MAC
“O encriptador do macOS é uma versão compilada do encriptador baseado em Linux com configurações básicas. No entanto, ao ser executado, ocorre uma falha devido a um erro de estouro de buffer no código.”
Embora o macOS esteja agora na mira, o encriptador ainda não está pronto para ser implementado, pois possui apenas sinalizadores básicos de configuração adicionados durante a compilação para macOS.
Antes que o encriptador LockBit possa funcionar, o desenvolvedor precisa encontrar uma forma de contornar o Controle de Acesso a Tarefas (TCC) e obter a aprovação de notarização.
No entanto, o LockBitSupp, representante público da LockBit, afirmou que atualmente estão trabalhando ativamente no desenvolvimento do encriptador para macOS.
Embora não esteja claro quão eficaz o encriptador do macOS poderia ser em ambientes empresariais, é possível que os afiliados da LockBit que visam pequenas empresas e consumidores encontrem mais utilidade nele.
Pré-análise do teu equipamento gratuito, encontramos a melhor solução para ti!
Problemas com Ransomware?
Contacta LABS 4 Recovery
Na LABS 4 Recovery somos especialistas em solucionar vírus informáticos e ataques de ransomware
- Windows bitlocker
- Desencriptação de ransomware
- Passwords Perdidas
- Ataque de vírus
Temos um grande conhecimento e experiência em trabalhar com projectos e empresas nacionais e internacionais. Contacta-nos para podermos ajudar-te!
Como conseguimos ajudar tantas empresas ao redor do mundo?
Fácil, embora a LABS 4 Recovery seja uma empresa com apenas 4 sedes na Península Ibérica, estamos em crescimento. Contamos com uma rede de técnicos experientes e confiáveis em todo o mundo. Dessa forma, podemos alcançar todas as regiões e auxiliar várias empresas com projetos simultâneos, seja por meio de trabalho remoto ou presencial.
- Desencriptação de Ransomware
- Reparação de Apple