«LockBit» nimmt Macs ins Visier

Die Ransomware Bande «LockBit» ist angeblich dabei Verschlüsselungsprogramme zu entwickeln, die speziell auf Macs abzielen, wie «Bleepingcomputer» berichtet. Damit wären die Cyberkriminellen die erste grosse Ransomware Gruppe, die spezifisch auf macOS abzielt.

Diese neue Ransomware wurde vom Cybersicherheitsforscher «MalwareHunterTeam» gefunden. Er entdeckte auf «VirusTotal» ein ZIP-Archiv, das die meisten der verfügbaren LockBit-Verschlüsselungsprogramme enthielt.

Bis jetzt nutzte LockBit Verschlüsselungsprogramme, die dafür entwickelt wurden, Windows-, Linux- und VMware ESXi-Server anzugreifen. Das von «MalwareHunterTeam» gefundene Archiv enthielt jedoch auch bis jetzt unbekannte Verschlüsselungsprogramme für Angriffe auf macOS-, ARM-, FreeBSD-, MIPS- und SPARC-CPUs. Unter diesen neu gefundenen Verschlüsselungsprogrammen befand sich auch eins mit dem Namen «locker_Apple_M1_64», das auf neue Macs ausgerichtet ist, die auf Apple Silicon laufen. Zusätzlich ist im Archiv auch Ransomware für PowerPC CPUs, die ältere Macs nutzen, zu finden.

Der Cybersecurityresearcher Florian Roth hat bei seinen Nachforschungen einen Apple M1-Encryptor gefunden, der bereits im Dezember letzten Jahres auf VirusTotal hochgeladen wurde. Es sei dementsprechend davon auszugehen, dass Versionen dieser Ransomware bereits seit einiger Zeit online zu finden sind.

«Bleepingcomputer» analysierte die Strings im Verschlüsselungsprogramm für Apple M1 und fand dabei mehrere Strings, die nichts in einem macOS-Verschlüsselungsprogramm zu suchen haben, was darauf hindeuten könne, dass es sich hierbei um einen Test handelt und nicht um das fertige Produkt. So waren beispielsweise zahlreiche Referenzen zu VMware ESXi zu finden. Das machte die Entdecker stutzig, da solche Referenzen nichts in einem Apple M1-Verschlüsselungsprogramm zu suchen haben, VMware hat nämlich bereits angekündigt, die CPU-Architektur nicht zu unterstützen.

Auch Cisco Talos Researcher Azim Khodjibaev sieht in der Entdeckung eher einen Test von Seiten LockBit. Basierend auf eigenen Nachforschungen gehe er davon aus, dass die gefundenen Verschlüsselungsprogramme lediglich ein erster Versuch seien und es niemals angedacht war, sie in einer richtigen Cyberattacke einzusetzen. Ins gleiche Horn stösst der macOS-Sicherheitsexperte Patrick Wardle. Auch er sieht die Verschlüsselungsprogramme als Versionen, die sich noch in der Entwicklung befinden und noch weit von ihrer Fertigstellung entfernt sind, da sie nicht über die notwendigen Funktionen verfügen, um Macs richtig zu verschlüsseln: «Es scheint, als ob macOS jetzt auf dem Radar von LockBit wäre. Aber was wir hier haben, ist noch weit davon entfernt, effektiv eingesetzt zu werden».

Während Windows das Betriebssystem ist, das am häufigsten zum Ziel von Ransomwareattacken wird, hält nichts die Kriminellen davon ab, Ransomware zu kreieren, die auf Macs abzielt. Gerade LockBit ist dafür bekannt, bei der Entwicklung von Ransomware bis an die Grenzen zu gehen. Es wäre daher nicht überraschend, wenn in Zukunft fortgeschrittenere und optimierte Verschlüsselungssoftware von den Kriminellen auftauchen würde. Auf Anfrage von «Bleepingcomputer» bestätigte ein Vertreter von LockBit unter dem Namen «LockBitSupp» entsprechend auch die laufende Entwicklung der Ransomware für Macs. Ob es sich dabei um die Wahrheit oder eine Falschinformation vonseiten der Kriminellen handelt, muss sich erst noch zeigen.