Geng ransomware LockBit telah menciptakan enkripsi yang menargetkan Mac untuk pertama kalinya, kemungkinan menjadi operasi ransomware besar pertama yang secara khusus menargetkan macOS.
Enkripsi ransomware baru ditemukan oleh peneliti keamanan siber Tim Pemburu Malware yang menemukan arsip ZIP di VirusTotal yang tampaknya berisi semua enkripsi LockBit yang tersedia.
Secara historis, operasi LockBit menggunakan enkripsi yang dirancang untuk menyerang server Windows, Linux, dan VMware ESXi. Namun, seperti yang ditunjukkan di bawah ini, arsip ini [VirusTotal] juga berisi enkripsi yang sebelumnya tidak dikenal untuk macOS, ARM, FreeBSD, MIPS, dan CPU SPARC.
Sumber: BleepingComputer
Enkripsi ini juga termasuk yang bernama ‘locker_Apple_M1_64’ [VirusTotal] yang menargetkan Mac terbaru yang berjalan pada Prosesor M1. Arsip juga berisi loker untuk CPU PowerPC, yang digunakan Mac lama.
Penelitian lebih lanjut oleh peneliti keamanan siber Florian Roth menemukan enkripsi Apple M1 diunggah ke VirusTotal pada Desember 2022, menunjukkan bahwa sampel ini telah beredar selama beberapa waktu.
Kemungkinan tes build
BleepingComputer menganalisis string dalam enkripsi LockBit untuk Apple M1 dan menemukan string yang tidak pada tempatnya di enkripsi macOS, yang menunjukkan bahwa string tersebut mungkin secara sembarangan digabungkan dalam pengujian.
Misalnya, ada banyak referensi ke VMware ESXi, yang tidak pada tempatnya di enkripsi Apple M1, seperti yang diumumkan VMare. tidak mendukung arsitektur CPU.
_check_esxi
esxi_
_Esxi
_kill_esxi_1
_kill_esxi_2
_kill_esxi_3
_kill_processes
_kill_processes_Esxi
_killed_force_vm_id
_listvms
_esxcfg_scsidevs1
_esxcfg_scsidevs2
_esxcfg_scsidevs3
_esxi_disable
_esxi_enable
Selain itu, encryptor berisi daftar enam puluh lima ekstensi file dan nama file yang akan dikecualikan dari enkripsi, semuanya adalah ekstensi dan folder file Windows.
Cuplikan kecil dari file Windows yang tidak akan dienkripsi Apple M1 tercantum di bawah ini, semuanya tidak pada tempatnya di perangkat macOS.
.exe
.bat
.dll
msstyles
gadget
winmd
ntldr
ntuser.dat.log
bootsect.bak
autorun.inf
thumbs.db
iconcache.dbHampir semua string ESXi dan Windows juga ada di enkripsi MIP dan FreeBSD, menunjukkan bahwa mereka menggunakan basis kode bersama.
Kabar baiknya adalah bahwa enkripsi ini kemungkinan besar belum siap untuk digunakan dalam serangan aktual terhadap perangkat macOS.
Peneliti Cisco Talos Azim Khodjibayev mengatakan kepada BleepingComputer bahwa berdasarkan penelitian mereka, enkripsi dimaksudkan sebagai ujian dan tidak pernah dimaksudkan untuk diterapkan dalam serangan siber langsung.
Meskipun Windows telah menjadi sistem operasi yang paling ditargetkan dalam serangan ransomware, tidak ada yang mencegah pengembang membuat ransomware yang menargetkan Mac.
Fakta bahwa mereka sedang diuji menunjukkan bahwa enkripsi yang lebih canggih dan dioptimalkan untuk arsitektur CPU ini dapat hadir di masa mendatang.
Oleh karena itu, semua pengguna komputer, termasuk pemilik Mac, harus mempraktikkan kebiasaan keamanan online yang baik, termasuk memperbarui sistem operasi, menghindari membuka lampiran dan file yang dapat dijalankan yang tidak dikenal, dan menggunakan kata sandi yang kuat dan unik di setiap situs yang Anda kunjungi.
