Le groupe de ransomware LockBit planche sur une variante de son malware qui cible le système d'exploitation macOS d'Apple. Ce serait une première avec ce ransomware pour lequel MalwareHunterTeam a repéré un fichier locker_Apple_M1_64 sur VirusTotal.

" Le groupe de ransomware LockBit a créé sa première charge utile pour macOS. Nous pensons que c'est la première fois qu'un groupe de menace de ransomware de grande envergure développe une charge utile pour les produits Apple ", a ajouté vx-underground.

Si la découverte est récente, des échantillons ont toutefois fait leur apparition en novembre et décembre 2022, sans éveiller particulièrement l'attention. À BleepingComputer, un représentant du groupe LockBit a confirmé qu'un chiffreur pour Mac est activement développé.

Pas encore de réelle menace

L'échantillon locker_Apple_M1_64, en référence à la puce Apple M1, fait partie d'autres échantillons avec des chiffreurs pour des configurations équipées de puces PowerPC d'anciens ordinateurs Mac, ainsi que diverses architectures CPU auparavant inédites.

D'après le chercheur en sécurité Patrick Wardle, l'échantillon du ransomware LockBit pour macOS est loin d'être prêt. À ce stade, il ne constitue pas une menace pour les utilisateurs d'un Mac. Il s'agirait essentiellement d'un test, sans déploiement dans le cadre d'une campagne de cyberattaque.

En l'état, le chiffreur pour macOS serait basé sur la version pour Linux et avec quelques paramètres de configuration de base. En raison d'un bug dans le code, il n'est pas opérationnel. Qui plus est, macOS ne l'exécutera pas, à défaut d'un certificat de confiance.

portail-lockbit-ransomware

L'évolution de la situation à surveiller de près

A priori basé en Russie, le groupe de ransomware LockBit a fait beaucoup parler de lui. Il propose un modèle de RaaS (Ransomware-as-a-Service), avec des affiliés qui mènent des attaques et n'ont pas hésité à prendre pour cible des établissements hospitaliers, y compris en France.

Actif depuis 2019, LockBit est souvent considéré par des experts de la cybersécurité comme l'un des rançongiciels les plus dangereux.