Por primera vez, un destacado grupo de ransomware parece estar apuntando activamente a las computadoras macOS. Descubierto el fin de semana pasado por MalwareHunterTeamla muestra de código sugiere que la pandilla LockBit con sede en Rusia está trabajando en una versión de su malware que encriptaría archivos en dispositivos Mac.
Las pequeñas empresas, las grandes empresas y las instituciones gubernamentales suelen ser el objetivo de los ataques de ransomware. Los piratas informáticos a menudo usan correos electrónicos de phishing para enviar mensajes que parecen reales para intentar engañar al personal para que descargue la carga útil del ransomware. Una vez que ingresa, el malware se propaga por todos los sistemas informáticos, encripta automáticamente los archivos de los usuarios y evita que la organización opere hasta que se pague un rescate, generalmente en monedas criptográficas como Bitcoin.
En los últimos años, los ataques de ransomware han interrumpido las tuberías de combustible, escuelas, hospitales, proveedores de la nubey innumerables otros negocios. LockBit ha sido responsable de cientos de estos ataquesy en los últimos seis meses ha derribado el Servicio de envío internacional Royal Mail del Reino Unido y operaciones interrumpidas en un hospital infantil canadiense durante el periodo navideño.
Hasta ahora, estos ataques de ransomware se dirigieron principalmente a Windows, Linux y otros sistemas operativos empresariales. Si bien las computadoras Apple son populares entre los consumidores, no se usan con tanta frecuencia en el tipo de empresas y otras organizaciones con mucho dinero que suelen perseguir las pandillas de ransomware.
MalwareHunterTeam, un grupo independiente de investigadores de seguridad, descubrió los encriptadores de Mac recientemente, pero aparentemente han sido presente en el sitio de seguimiento de malware VirusTotal desde noviembre del año pasado. Un encriptador apunta a las Apple Mac con los chips M1 más nuevos, mientras que otro apunta a aquellos con CPU Power PC, que fueron todo desarrollado antes de 2006. Presumiblemente, hay un tercer encriptador en alguna parte que se dirige a las Mac basadas en Intel, aunque no parece estar en el repositorio de VirusTotal.
Afortunadamente, cuando BleepingComputer evaluó el cifrador Apple M1, encontró un poco de malware bastante a medio cocer. Había muchos fragmentos de código que decían “están fuera de lugar en un cifrador de macOS”. Llegó a la conclusión de que el cifrador “probablemente se mezcló al azar en una prueba”.
En una inmersión profunda en el encriptador M1, el investigador de seguridad Patrick Wardle descubrió casi lo mismo. Descubrió que el código estaba incompleto, con errores y sin las funciones necesarias para encriptar archivos en una Mac. De hecho, dado que no se firmó con una ID de desarrollador de Apple, ni siquiera funcionaría en su estado actual. Según Wardle, “es poco probable que el usuario promedio de macOS se vea afectado por esta muestra de LockBit macOS”, pero que una “gran pandilla de ransomware aparentemente haya puesto su mirada en macOS, debería preocuparnos y también catalizar conversiones sobre la detección y prevención de esto”. (y futuras) muestras en primer lugar!”
Apple también ha implementado de manera preventiva una serie de funciones de seguridad que mitigan los riesgos de los ataques de ransomware. Según Wardle, los archivos a nivel del sistema operativo están protegidos por ambos Protección de integridad del sistema y volúmenes del sistema de solo lectura. Esto dificulta que el ransomware haga mucho para interrumpir el funcionamiento de macOS, incluso si termina en su computadora. De manera similar, Apple protege directorios como el Escritorio, Documentos y otras carpetas, por lo que el ransomware no podría encriptarlos sin la aprobación del usuario o un exploit. Esto no significa que sea imposible que el ransomware pueda funcionar en una Mac, pero ciertamente no será fácil para aquellos que se mantienen actualizados con las últimas funciones de seguridad.
Aún así, el hecho de que un gran grupo de piratas informáticos aparentemente esté apuntando a las Mac sigue siendo un gran problema, y es un recordatorio de que cualquier reputación que Apple tenga para desarrollar dispositivos más seguros se pone a prueba constantemente. Cuando BleepingComputadora contactado LockBitSupp, la cara pública de LockBit, el grupo confirmó que se está “desarrollando activamente” un encriptador de Mac. Si bien el ransomware no hará mucho en su estado actual, siempre debe mantener su Mac actualizada y tener cuidado con los archivos sospechosos que descargue de Internet.