Getty Images
Les chercheurs en sécurité examinent des échantillons de rançongiciels Mac récemment découverts par le gang notoire LockBit, marquant le premier exemple connu d’un important groupe de rançongiciels jouant avec les versions macOS de ses logiciels malveillants.
Les ransomwares sont une menace omniprésente, mais les attaquants ne prennent généralement pas la peine de créer des versions de leurs logiciels malveillants pour cibler les Mac. En effet, les ordinateurs d’Apple, bien que populaires, sont beaucoup moins répandus que ceux exécutant Windows, Linux et d’autres systèmes d’exploitation. Au fil des ans, cependant, des échantillons de rançongiciels apparemment expérimentaux pour Mac sont apparus à plusieurs reprises, donnant l’impression que le risque pourrait s’aggraver à tout moment.
Repérés par MalwareHunterTeam, les échantillons de chiffreurs de rançongiciels semblent être apparus pour la première fois dans le référentiel d’analyse de logiciels malveillants VirusTotal en novembre et décembre 2022, mais sont passés inaperçus jusqu’à hier. LockBit semble avoir créé à la fois une version du crypteur ciblant les nouveaux Mac exécutant des processeurs Apple et les anciens Mac fonctionnant sur les puces PowerPC d’Apple.
Les chercheurs disent que le ransomware LockBit Mac semble être plus une première incursion que tout ce qui est entièrement fonctionnel et prêt à être utilisé. Mais le bricolage pourrait indiquer des plans futurs, d’autant plus que de plus en plus d’entreprises et d’institutions ont intégré des Mac, ce qui pourrait rendre plus attrayant pour les attaquants de ransomware d’investir du temps et des ressources afin qu’ils puissent cibler les ordinateurs Apple.
“Ce n’est pas surprenant, mais il est inquiétant qu’un grand groupe de ransomwares prospère se tourne désormais vers macOS”, déclare Patrick Wardle, chercheur de longue date en sécurité Mac et fondateur de la fondation Objective-See. “Il serait naïf de supposer que LockBit ne s’améliorera pas et n’itérera pas sur ce ransomware, créant potentiellement une version plus efficace et destructrice.”
Publicité
Apple a refusé de commenter les résultats.
LockBit est un gang de rançongiciels basé en Russie qui a émergé fin 2019. Le groupe est surtout connu pour son volume d’attaques et pour son apparence bien organisée et moins ostentatoire et sophomorique que certains de ses pairs dans le paysage cybercriminel. Mais LockBit n’est pas à l’abri de l’arrogance et de l’agression publique. Il a notamment attiré l’attention sur lui-même au cours des derniers mois en ciblant le Royal Mail du Royaume-Uni et un hôpital pour enfants canadien.
Pour l’instant, Wardle note que les chiffreurs macOS de LockBit semblent être dans une phase très précoce et ont encore des problèmes de développement fondamentaux comme le plantage au lancement. Et pour créer des outils d’attaque vraiment efficaces, LockBit devra trouver comment contourner les protections macOS, y compris les contrôles de validité qu’Apple a ajoutés ces dernières années pour exécuter de nouveaux logiciels sur Mac.
“Dans un certain sens, Apple est en avance sur la menace, car les versions récentes de macOS sont livrées avec une myriade de mécanismes de sécurité intégrés visant à contrecarrer directement, ou du moins à réduire l’impact des attaques de ransomware”, déclare Wardle. “Cependant, les groupes de rançongiciels bien financés continueront à faire évoluer leurs créations malveillantes.”
Le développement de rançongiciels pour Mac n’est peut-être pas la priorité absolue sur la liste des tâches de chaque attaquant, mais le domaine évolue. Alors que les forces de l’ordre du monde entier s’efforcent de contrer les attaques et que les victimes disposent de plus en plus d’informations et de ressources pour éviter de payer, les gangs de rançongiciels cherchent de plus en plus désespérément des stratégies nouvelles ou raffinées qui les aideront à être payés.
“Le chiffreur LockBit ne semble pas particulièrement viable dans sa forme actuelle, mais je vais certainement garder un œil dessus”, déclare Thomas Reed, directeur des plates-formes Mac et mobiles chez le fabricant d’antivirus Malwarebytes. « La viabilité pourrait s’améliorer à l’avenir. Ou peut-être pas, si leurs tests ne sont pas prometteurs.
Pourtant, pour les acteurs du ransomware qui cherchent à générer autant de revenus que possible, les Mac sont un domaine inexploité potentiellement attrayant.
Cette histoire est apparue à l’origine sur wired.com.
