南京錠の付いた Apple ロゴ
画像:のれぼ

LockBit ランサムウェア ギャングは、初めて Mac を標的とする暗号化ツールを作成しました。これは、特に macOS を標的とした最初の主要なランサムウェア操作になる可能性があります。

新しいランサムウェア暗号化ツールは、利用可能なすべての LockBit 暗号化ツールと思われるものを含む VirusTotal の ZIP アーカイブを見つけたサイバーセキュリティ研究者MalwareHunterTeamによって発見されました。

歴史的に、LockBit 操作は、Windows、Linux、および VMware ESXi サーバーに対する攻撃用に設計された暗号化を使用します。ただし、以下に示すように、このアーカイブ [ VirusTotal ] には、macOS、ARM、FreeBSD、MIPS、および SPARC CPU 用の未知の暗号化ツールも含まれていました。

利用可能な LockBit 暗号化のアーカイブ
利用可能な LockBit 暗号化のアーカイブ
ソース:

これらの暗号化ツールには、M1 プロセッサで実行されている新しい Mac をターゲットとする「locker_Apple_M1_64」[ VirusTotal ] という名前の暗号化ツールも含まれています。アーカイブには、古い Mac が使用する PowerPC CPU 用のロッカーも含まれています。

サイバーセキュリティ研究者の Florian Roth によるさらなる調査により、2022 年 12 月にVirusTotal にアップロードされたApple M1 暗号化プログラムが発見されました。これは、これらのサンプルがしばらくの間流出していたことを示しています。

おそらくテストビルド

Apple M1 の LockBit エンクリプター内の文字列を分析したところ、macOS エンクリプター内で適切でない文字列が見つかりました。

たとえば、VMare がCPU アーキテクチャをサポートしないことを発表したため、Apple M1 エンクリプタでは不適切な VMware ESXi への言及が数多くあります。

_check_esxi esxi_ _Esxi _kill_esxi_1 _kill_esxi_2 _kill_esxi_3 _kill_processes _kill_processes_Esxi _killed_force_vm_id _listvms _esxcfg_scsidevs1 _esxcfg_scsidevs2 _esxcfg_scsidevs3 _esxi_disable _esxi_enable

さらに、エンクリプタには、暗号化から除外される 65 のファイル拡張子とファイル名のリストが含まれており、それらはすべて Windows のファイル拡張子とフォルダです。

Apple M1 エンクリプターが暗号化しない Windows ファイルの小さなスニペットを以下に示します。これらはすべて macOS デバイスでは適切ではありません。

.exe .bat .dll msstyles gadget winmd ntldr ntuser.dat.log bootsect.bak autorun.inf thumbs.db iconcache.db

ESXi および Windows の文字列のほとんどすべてが MIP および FreeBSD 暗号化プログラムにも存在し、共有コードベースを使用していることを示しています。

幸いなことに、これらの暗号化ツールは、macOS デバイスに対する実際の攻撃に展開する準備ができていない可能性があります。

Cisco Talos の研究者であるAzim Khodjibaev 氏は、調査によると、暗号化ツールはテスト用であり、実際のサイバー攻撃への展開を意図したものではなかったと語っています。

Windows はランサムウェア攻撃で最も標的にされたオペレーティング システムですが、開発者が Mac を標的とするランサムウェアを作成することを妨げるものは何もありません。

それらがテストされているという事実は、これらの CPU アーキテクチャ用のより高度で最適化された暗号化装置が将来登場する可能性があることを示しています。

したがって、Mac の所有者を含むすべてのコンピューター ユーザーは、オペレーティング システムを常に最新の状態に保つ、不明な添付ファイルや実行可能ファイルを開かないようにする、アクセスするすべてのサイトで強力で一意のパスワードを使用するなど、オンラインの安全に関する適切な習慣を実践する必要があります。