Ransomware : ce que l’on sait du variant LockBit 3.0 pour macOS

Ce dimanche 16 avril dans la nuit, la Malware Hunter Team lance l’alerte : un échantillon de rançongiciel apparemment taillé pour les derniers Mac animés par une puce Apple Silicon a été découvert. Il est attribué à la franchise mafieuse LockBit 3.0. 

Dans la soirée, VX-Underground aura obtenu confirmation des opérateurs de la franchise : l’échantillon découvert est bien réel. LockBit 3.0 s’intéresse bien aux machines fonctionnant sous macOS. Et ce n’est pas nouveau : cela remonte au moins au mois de novembre 2022 ; c’était juste passé inaperçu jusqu’ici.

Cet échantillon n’est pas seul : il est accompagné d’exécutables compilés pour systèmes Sparc, IBM s390x, PowerPC, MIPS, etc. 

Patrick Wardle, fondateur de la fondation Objective-See, s’est penché sur ce ransomware pour Mac Apple Silicon. 

Le maliciel semble en fait dérivé du variant Linux/ESXi de LockBit. Il doit être exécuté en ligne de commande et propose une option dédiée aux fichiers VMDK, ainsi qu’une autre gérant l’arrêt, ou non, des machines virtuelles. 

Qui plus est, souligne Patrick Wardle, cet échantillon de rançongiciel fait fi des mécanismes de protection et de prévention de l’exécution de logiciels malveillants spécifiques à macOS. En somme, c’est tout sauf une menace véritablement taillée pour les ordinateurs signés Apple. 

Accessoirement, l’échantillon étudié souffre de bugs et peut être aisément détecté par l’outil RansomWhere d’Objective-See. Azim Khodjibaev, de Cisco Talos, cité par nos confrères de BleepingComputer, estime que ces échantillons de l’automne dernier ne sont que des tests.

Ce variant de LockBit 3.0 ne présente donc, en l’état, aucune menace pour les Mac. Mais les opérateurs de la franchise indiquent toutefois travailler activement au développement d’un variant spécifique à macOS. Sans doute la rançon du succès, pour des machines Apple toujours plus présentes en environnement professionnel.