Güvenlik araştırmacıları kötü şöhretli LockBit çetesinden yeni keşfedilen Mac fidye yazılımı örneklerini inceleyerek, kötü amaçlı yazılımının macOS sürümleriyle oynayan önde gelen bir fidye yazılımı grubunun bilinen ilk örneğini işaret ediyor.
Fidye yazılımı yaygın bir tehdittir, ancak saldırganlar genellikle kötü amaçlı yazılımlarının Mac’leri hedeflemek için sürümlerini oluşturmaya zahmet etmezler. Bunun nedeni, Apple’ın bilgisayarlarının popüler olmasına rağmen Windows, Linux ve diğer işletim sistemlerini çalıştıran bilgisayarlardan çok daha az yaygın olmasıdır. Ancak yıllar geçtikçe, görünüşte deneysel Mac fidye yazılımı örnekleri birkaç kez ortaya çıktı ve bu da riskin her an artabileceği hissini yarattı.
MalwareHunterTeam tarafından tespit edildi, fidye yazılımı şifreleyici örnekleri ilk olarak Kasım ve Aralık 2022’de kötü amaçlı yazılım analiz deposu VirusTotal’da ortaya çıkmış gibi görünüyor, ancak düne kadar fark edilmedi. LockBit, hem Apple işlemcileri çalıştıran daha yeni Mac’leri hem de Apple’ın PowerPC yongalarında çalışan daha eski Mac’leri hedefleyen şifreleyicinin bir sürümünü yaratmış görünüyor.
Araştırmacılar, LockBit Mac fidye yazılımının, tamamen işlevsel ve kullanıma hazır olan her şeyden daha çok ilk baskını gibi göründüğünü söylüyor. Ancak, özellikle daha fazla işletme ve kurumun Mac’leri bünyesine kattığı göz önüne alındığında, kurcalama gelecek planları gösterebilir, bu da fidye yazılımı saldırganlarının Apple bilgisayarları hedefleyebilmek için zaman ve kaynak ayırmasını daha çekici hale getirebilir.
Uzun süredir Mac güvenlik araştırmacısı ve Objective-See Vakfı’nın kurucusu Patrick Wardle, “Büyük ve başarılı bir fidye yazılımı grubunun artık gözlerini macOS’a dikmiş olması şaşırtıcı ama endişe verici” diyor. “LockBit’in bu fidye yazılımını iyileştirip yinelemeyeceğini, potansiyel olarak daha etkili ve yıkıcı bir sürüm yaratacağını varsaymak saflık olur.”
Apple bulgular hakkında yorum yapmaktan kaçındı.
LockBit, 2019’un sonunda ortaya çıkan, Rusya merkezli bir fidye yazılımı çetesidir. Grup, en çok saldırı hacmi ve iyi organize edilmiş görünmesi ve siber suç ortamındaki emsallerinden bazılarına göre daha az gösterişli ve ikinci sınıf öğrencisi olmasıyla tanınır. Ancak LockBit, kibirden ve halkın saldırganlığından muaf değildir. Özellikle, son aylarda İngiltere’deki Royal Mail’i ve Kanada’daki bir çocuk hastanesini hedef alarak dikkatleri üzerine çekti.
Şimdilik Wardle, LockBit’in macOS şifreleyicilerinin çok erken bir aşamada göründüğünü ve hala başlatma sırasında çökme gibi temel geliştirme sorunlarına sahip olduğunu belirtiyor. Ve gerçekten etkili saldırı araçları oluşturmak için LockBit’in, Apple’ın son yıllarda Mac’lerde yeni yazılım çalıştırmak için eklediği geçerlilik kontrolleri de dahil olmak üzere, macOS korumalarını nasıl atlatacağını bulması gerekecek.
Wardle, “MacOS’un son sürümleri, fidye yazılımı saldırılarını doğrudan engellemeyi veya en azından bunların etkisini azaltmayı amaçlayan çok sayıda yerleşik güvenlik mekanizmasıyla birlikte gönderildiğinden, Apple bir anlamda tehdidin önündedir” diyor. “Ancak, iyi finanse edilen fidye yazılımı grupları, kötü niyetli yaratımlarını geliştirmeye devam edecek.”
Mac fidye yazılımı geliştirmek, her saldırganın yapılacaklar listesindeki en yüksek öncelik olmayabilir, ancak alan değişiyor. Dünya çapında kolluk kuvvetleri saldırılara karşı koymaya çalışırken ve kurbanlar ödeme yapmaktan kaçınmak için girdi ve kaynaklara sahip oldukça, fidye yazılımı çeteleri ödeme almalarına yardımcı olacak yeni veya rafine stratejiler için daha çaresiz hale geliyor.
Antivirüs üreticisi Malwarebytes’in Mac ve mobil platformlar direktörü Thomas Reed, “LockBit şifreleyici şu anki haliyle pek uygulanabilir görünmüyor, ancak kesinlikle ona göz kulak olacağım,” diyor. “Yaşayabilirlik gelecekte iyileşebilir. Veya testleri umut verici değilse, olmayabilir.
Yine de, mümkün olduğu kadar fazla gelir elde etmek isteyen fidye yazılımı aktörleri için, Mac’ler potansiyel olarak çekici bir tarla alanıdır.