LockBit 3.0 : le « ransomware-star » bientôt dans les Mac ?

LockBit, prochainement sur vos Mac ? Ce fut l'une des questions infosec du week-end. En toile de fond, la découverte d'une version du ransomware spécifiquement compilée pour les puces Apple M1.

Cette variante n'arrive pas seule. L'archive qui la contient abrite aussi des spécimens pour des plates-formes telles que SPARC, FreeBSD et PowerPC. Et ils ne semblent pas dater d'hier.

What's your AV/EDR coverage on SPARC, FreeBSD and PowerPC? https://t.co/P6SRui0jBB

- Florian Roth (@cyb3rops) April 16, 2023

It appears we are late to the game. The MacOS variant has been available since November 11th, 2022. pic.twitter.com/T6AnnuK4ad

- vx-underground (@vxunderground) April 16, 2023

À l'analyse, le soufflé retombe un peu : on constate qu'il s'agit de versions de test. Les équipes de LockBit elles-mêmes l'ont confirmé... en prenant soin de préciser que le « développement actif » se poursuit.

I wrote a python script to decrypt the strings in the Lockbit 3.0 macOS variant.
Check it out:https://t.co/VPKsEDG0N0

- Mohamed Ashraf (@X__Junior) April 17, 2023

LockBit, encore (globalement) inoffensif sur Mac

La version « M1 » prend la forme d'un exécutable Mach-O. La présence de chaînes relatives notamment à Windows (autorun.inf, ntuser.data.log...) suggèrent qu'elle a simplement été recompilée.

Brief analysis of #Lockbit 3.0 for macOS ARM M1/M2
It's using simple XOR routine to decrypt all config data. XOR key is static value '57' @vxunderground @Gi7w0rm pic.twitter.com/uewVwsXRpS

- Arda Büyükkaya (@WhichbufferArda) April 16, 2023

L'échantillon embarque quelques mécanismes de protection, en particulier contre les débogueurs. Mais il n'est pas conçu pour contourner des technologies de macOS telles que SIP (protection de l'intégrité du système) et TCC (protection de la privacy). Il est par ailleurs signé « ad hoc » et il lui arrive de crasher (dépassement de tampon).

To add further credence to the claim 'not ready (at all) for macOS' ...LockBit macOS can/will crash due to an apparent buffer overflow in its code 🤦???🫠 pic.twitter.com/O5Twdj9ESz

- Patrick Wardle (@patrickwardle) April 16, 2023

Parmi les dernières victimes françaises revendiquées sur le « site vitrine » de LockBit figurent :

BRL Ingénierie (bureau d'études en ingénierie de l'eau et de l'environnement)
Grégoire (machines à vendanger)
Théus Industries (chaudronnerie, tôlerie, mécano-soudure)
Cabinet Paillet et Associés (expertise comptable)
Institut supérieur d'ostéopathie de Lyon
Transports Feuillet (transport routier de marchandises)
2CARA (audit et commissariat aux comptes)
Brunoy (commune d'Île-de-France)
Exco (cabinets d'expertise comptable)
Dragages-Ports (GIE rassemblant l'État et les grands ports maritimes métropolitains)

À consulter pour davantage de contexte :

Cyberattaque à Lille : des données personnelles volées
Sécurité informatique : quelques mesures d'hygiène personnelle
BlackLotus, ce malware qui met Secure Boot K.-O.
ChromeLoader : ceci n'est pas qu'un adware

Illustration principale © Tada Images - Adobe Stock