一个臭名昭著的勒索软件团伙首次 सक्रिय(积极)地将目光投向了macOS电脑。上周末由MalwareHunterTeam发现,该代码样本表明,俄罗斯的LockBit团伙正在开发其恶意软件的一个版本,该版本将加密Mac设备上的文件。
小型企业、大型企业和政府机构经常是勒索软件攻击的目标。黑客通常使用网络钓鱼邮件发送看似真实的邮件,试图诱骗员工下载勒索软件载荷。一旦进入系统,恶意软件就会在计算机系统之间传播,自动加密用户文件,并在支付赎金(通常是比特币等加密货币)之前阻止组织运行。
在过去的几年里,勒索软件攻击已经扰乱了燃料管道、学校、医院、云服务提供商以及无数其他企业。LockBit已经对数百起此类攻击负责,并且在过去六个月里,它已经导致英国皇家邮政国际快递服务瘫痪,并在圣诞节期间扰乱了加拿大一家儿童医院的运营。
在此之前,这些勒索软件攻击主要针对Windows、Linux和其他企业操作系统。虽然苹果电脑在消费者中很受欢迎,但在勒索软件团伙通常攻击的企业和其他财力雄厚的组织中,其使用率并不高。
MalwareHunterTeam,一个独立的网络安全研究小组,最近才发现了Mac加密器,但自去年11月以来,它们似乎出现在恶意软件追踪网站VirusTotal上。一个加密器针对的是配备较新M1芯片的Apple Mac,而另一个则针对的是使用Power PC CPU的Mac,这些CPU都在2006年之前开发。据推测,可能还有第三个加密器针对Intel Mac,尽管它似乎没有出现在VirusTotal的存储库中。
幸运的是,当BleepingComputer评估Apple M1加密器时,发现它是一个相当粗糙的恶意软件。他们说有很多代码片段“放在macOS加密器中并不合适”。该评估得出的结论是,该加密器“很可能是随意拼凑而成的一个测试版本”。
在对M1加密器进行的深入分析中,安全研究员Patrick Wardle得出了类似的结论。他发现代码不完整、有bug,并且缺少实际加密Mac文件的必要功能。事实上,由于它没有用Apple开发者ID签名,它在当前状态下甚至无法运行。根据Wardle的说法,“普通的macOS用户不太可能受到这个LockBit macOS样本的影响”,但“一个大型勒索软件团伙显然已经盯上了macOS,这应该让我们停下来思考,同时也促使我们思考如何检测和预防这个(以及未来的)样本!”
苹果公司还预先实施了多项安全功能,以减轻勒索软件攻击的风险。根据Wardle的说法,操作系统级别的文件受到系统完整性保护和只读系统卷的双重保护。这使得勒索软件即使感染了你的电脑,也很难破坏macOS的正常工作。同样,苹果会保护桌面、文档和其他文件夹等目录,因此勒索软件在未经用户批准或利用漏洞的情况下无法加密它们。这并不意味着勒索软件不可能在Mac上运行,但对于那些保持最新安全功能的用户来说,这肯定不容易。
尽管如此,一个大型黑客团伙似乎将目光投向了Mac,这仍然是一件大事——这提醒我们,无论苹果在开发更安全设备方面拥有怎样的声誉,都时刻面临着考验。当BleepingComputer联系LockBitSupp,也就是LockBit的公众代言人时,该团伙证实Mac加密器“正在积极开发中”。虽然勒索软件在当前状态下作用不大,但你应该始终保持Mac更新——并且小心任何从互联网下载的可疑文件。
