Il ransowmare LockBit prende di mira il Mac, ma ci vuole un utente Windows per infettarsi
Premessa: nella guerra di religione tra utenti Mac e Windows, da sempre c’è uno scambio di battute più o meno divertenti-offensive, quindi i lettori del lato oscuro che leggono questo blog vorranno perdonami per il titolo.
Il ransomware, i malware che impediscono l’accesso ad alcuni file dell’hard disk del computer della vittima criptandoli, sono sempre più diffusi nel tormentato lato oscuro dell’informatica, ma pressoché sconosciuti e soprattutto innocui per la piattaforma Mac. È normale quindi, che appena se ne individua uno per i computer Apple, la notizia diventi virale. È il caso di LockBit 3.0 sviluppato per i Mac Apple Silicon.
LockBit è un software progettato da pirati informatici russi che poi lo vendono a terzi a un prezzo che varia a seconda dell’obiettivo dev’aspirante cybercriminale, e sono garantiti anche aggiornamenti, assistenza e così via, come un vero è proprio software commerciale. In sintesi, i creatori di LockBi non guadagnano dai riscatti richiesti alle persone o alle istituzioni attaccate, ma della vendita del loro malware.
Tuttavia la pericolosità di LockBit 3.0 è praticamente nulla, a meno che l’utente non sia particolarmente “distratto” e incauto. Infatti, il ransomware non è in grado di auto installarsi a meno che la vittima non decida di lanciarlo, e non è quindi in grado di auto replicarsi sugli eventuali Mac collegati. In secondo luogo, macOS ha diverse funzioni che impediscono ai ransomware di crittografare il contenuto del disco, il sistema operativo è su una partizione di sola lettura, il che impedisce al malware di andare a modificarlo. Poi, le cartelle principali (scrivania, documenti, download) richiedono che l’utente dia il suo permesso perché un programma possa accedervi. Infine, la chiave di decrittazione di LockBit 3.0 è… 57 e quindi basta una semplice routine XOR per decrittografare tutti i file cifrati.
Infine, LockBit 3.0 utilizza un certificato sviluppatore non valido, e quindi macOS mostrerà un avviso (immagine in alto) che inviterà a spostarlo nel cestino.
3 commenti
“il ransomware funziona solo su una macchina specifica e quindi non può essere eseguito direttamente su un Mac, a meno che la vittima non decida di lanciarlo” Stefano perdonami non mi è chiaro il senso di questa frase
Un virus vero e proprio si installa senza alcuna azione da parte dell’utente e si autoreplica sui computer collegati, questo invece richiede di essere lanciato (installato).
P.S.
L’ho spiegato meglio nell’articolo.
Non alimentiamo il filone “sai quanti utenti Windows servono per avvitare una lampadina? ….