Daha fazla fidye yazılımı sunmayı planlayan LockBit, az önce macOS için bir varyant yarattı. Ancak uzmanların belirttiği gibi, hiçbir şeye hazır değil.
Hafta sonu, fidye yazılımı çetesi LockBit’in Mac kullanıcılarını hedef almaya başladığı haberi, Apple topluluğunda bazı endişeleri tetikledi. Ancak korkmayın: Apple güvenlik uzmanları fidye yazılımını inceledi, neler yapıp yapamayacağını derinlemesine inceledi ve aslında dişsiz olduğu sonucuna vardı.
Patrick Wardle, “Evet, gerçekten de Apple Silicon üzerinde çalışabilir. Temelde etkisinin boyutu bu,” dedi (@patrickwardle), bilinen macOS siber güvenlik uzmanı ve kar amacı gütmeyen Objective-See’nin kurucusu. “macOS kullanıcılarının endişelenecek bir şeyleri yok.”
İşte nedeni.
imza geçersiz
adlı bir yardımcı programı kullanma ortak tasarım, Wardle, yükün imza değerinin bir Apple Geliştirici Kimliğine kıyasla “geçici” olduğunu gördü. İmza geçersiz olduğu için macOS imzayı yürütmez.
Wardle, yükü macOS’unuzda çalıştıracak kadar cesursanız, bu mesajla karşılaşacağınızı söylüyor. (Kaynak: Amaç-Bkz.)
Şifreleyici muhtemelen bir test dosyasıdır.
Azim Hocabayev (@ASHukuhiCisco Talos’ta bir güvenlik araştırmacısı olan BleepingComputer’a, macOS için tasarlanan şifreleyicilerin “bir test amaçlı olduğu ve asla canlı siber saldırılarda geliştirilmek üzere tasarlanmadığı” teorisini aktardı.
Wardle, kötü amaçlı yazılımın tamamlanmaktan uzak olduğunu belirterek bu teoriyi daha da doğruladı. Kötü amaçlı yazılımın kodundaki göstergeler, bunun Linux tabanlı olduğunu ancak temel yapılandırma ayarlarının dahil olduğu macOS için derlendiğini gösteriyor. Kod ayrıca geliştiricilerinin, kullanıcı dosyalarını ve klasörlerini korumaya yönelik iki güvenlik özelliği olan macOS’un TCC (Şeffaflık, İzin ve Kontrol) ve SIP’yi (Sistem Bütünlüğü Koruması) henüz dikkate almadıklarını da gösteriyor.
TCC ve SIP mevcut olduğunda, fidye yazılımı yalnızca biraz şifreleme yapabilir, hatta hiç yapamaz.
Kod hatalı ve çökecek
Wardle, test dosyası teorisine daha fazla güvenerek, macOS yükünün, yürütüldüğünde çökmesine neden olacak bir arabellek taşması içerdiğini buldu.
Şimdilik endişelenme!
Apple kullanıcıları, bu macOS fidye yazılımının şu anda olduğu gibi kimseyi neredeyse hiç etkilemeyeceğini bilerek rahatlayabilir. Ancak, Wardle’ın hemen işaret ettiği gibi, bu durum gelecekteki sürümlerde farklı olabilir.
Blogunda, “Görünüşe göre büyük bir fidye yazılımı çetesinin gözünü macOS’a dikmiş olması, bizi endişe için duraklatmalı ve ayrıca bu (ve gelecekteki) örnekleri tespit etme ve önleme konusundaki konuşmaları hızlandırmalı” diyor blogunda.
Hizmet olarak fidye yazılımı (RaaS) olarak çalışan LockBit’in amacı, bir dizi fidye yazılımı sunmaktır. Şu anda en az iki teklifimiz var: LockBit Black (BlackMatter’ın koduna göre) ve LockBit Green (Conti’nin koduna göre). Bu nedenle, repertuarının dışındaki sistemleri hedeflemek için genişlemek yalnızca mantıklı değil, aynı zamanda stratejik bir harekettir.
Malwarebytes Güvenlik Evangelisti Mark Stockley, “Çoğu kuruluş için ana çıkarım, Mac’lerin şimdilik muhtemelen güvenli olduğudur, ancak Windows sunucularınız zaten her zaman birincil hedef olmuştur” diyor. Ancak, Mark uyardı:
“Yalnızca güvende olmadığınız sürece güvendesiniz ve bunun çalışması için bir zaman çizelgesi yok. Önceden bir uyarı almayacağız, yalnızca (muhtemelen LockBit’in kendisinden) çok sayıda Mac’e sahip bir kuruluşun teslim edildi. Öyleyse…kuruluşunuzda çok sayıda Mac varsa ne yapacaksınız? Atın kaçmasını bekleyin ve Daha sonra kapıyı kapat, yoksa şimdi mi kapat?”
LockBit’in halka açık temsilcisi LockBitSupp, BleepingComputer ile yaptığı bir röportajda, Mac şifreleyicinin “aktif olarak geliştirilmekte” olduğunu söylüyor.
LockBit, 2022’de açık ara en baskın fidye yazılımıydı ve 2023’te yavaşlamadı, bu nedenle Malwarebytes 2023 Kötü Amaçlı Yazılım Durumu raporunda göz ardı edemeyeceğiniz beş tehditten biri.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE