Longtemps préservé, macOS fait face à une nouvelle menace. NotLockBit, un ransomware en pleine évolution, remet en question la tranquillité des utilisateurs et utilisatrices d’Apple.
Pendant des années, macOS a échappé à l'essentiel des ransomwares, en partie grâce à ses protections natives et à des parts de marché moins alléchantes pour les attaquants. Mais cette relative tranquillité semble toucher à sa fin. Le ransomware NotLockBit, récemment identifié par les équipes de sécurité de Trend Micro et SentinelOne, marque une évolution inquiétante, alors que les cybercriminels développent désormais des outils adaptés à l’écosystème d'Apple.
NotLockBit : une menace en développement constant
Selon les premières analyses, NotLockBit – qui n'a rien à voir avec LockBit mais qui entretient volontairement la confusion – cible principalement les Mac équipés de processeurs Intel. Pour autant, les machines Apple Silicon utilisant Rosetta ne sont pas épargnées, puisque l’émulateur permet au ransomware de tirer profit de ses capacités d’exécution des applications x86_64.
Si les chercheurs et chercheuses à l'origine de la découverte n’ont pas encore réussi à déterminer par quels moyens NotLockBit pouvaient infecter les systèmes compromis, ils n’ont pas eu de mal à documenter son mode opératoire une fois téléchargé.
Le malware entreprend d'abord de collecter des informations système, notamment la version de macOS installée et l’architecture matérielle utilisée, afin d’optimiser son fonctionnement. Une fois cette reconnaissance effectuée, NotLockBit passe à l’exfiltration de données, en les transférant vers des serveurs Amazon S3 distants, dont les identifiants d'accès sont directement codés dans le programme malveillant.
05 novembre 2024 à 15h27
Puis le ransomware chiffre les fichiers en utilisant un système de clés asymétriques. Évidemment, sans la clé privée détenue par les attaquants, impossible d'espérer récupérer ce qui a été verrouillé. Les éléments chiffrés sont ensuite renommés avec une extension *.abcd, et une note de rançon est déposée dans les dossiers pour exiger paiement contre restitution des fichiers.
Jusqu’ici, rien de bien original. Pourtant, NotLockBit agirait de manière bien plus inquiétante que ce qu’il laisse paraître. Et pour cause, il évolue très (trop) rapidement. D’après les observations de Trend Micro et SentinelOne, les premiers échantillons collectés se contentaient de chiffrer les fichiers. Les suivants, en revanche, auraient gagné en complexité : intégration de fonctions avancées d’exfiltration, tentatives de contournement des protections macOS comme TCC, et mécanismes pour déjouer les antivirus. Preuve, s’il en fallait, que les développeurs testent activement de nouvelles méthodes pour rendre NotLockBit plus efficace et plus rentable.
Comment vous protéger contre NotLockBit ?
Pour les propriétaires de Mac, l’arrivée de NotLockBit marque un changement de paradigme. macOS reste un système sécurisé, mais les protections intégrées, comme Gatekeeper ou TCC, ne suffisent plus toujours à faire face à des attaques de ce type. D’où l’importance de continuer à adopter de bonnes pratiques.
La première étape consiste évidemment à maintenir macOS à jour afin de bénéficier des derniers correctifs Apple. Pensez aussi à limiter les installations d’applications provenant de sources inconnues, et sauvegardez régulièrement vos données – sur un disque externe déconnecté ou via un service cloud sécurisé – pour limiter la casse en cas d’attaque.
Soyez également attentif aux permissions demandées par les logiciels, notamment ceux installés en dehors de l’App Store. Si un programme tente d’accéder à des zones sensibles du système ou de contourner les paramètres de sécurité, mieux vaut l’éviter.
Gardez enfin en tête qu’un bon antivirus, dont la base de données est actualisée plusieurs fois par jour, peut aussi vous sauver la mise, en dépit des efforts de NotLockBit pour garder un coup d’avance sur les outils de protection.
Enfin, dernier conseil, et pas des moindres : ne payez jamais la rançon réclamée. Rien ne garantit que vous puissiez effectivement récupérer vos fichiers à l’issue de la transaction.
Sources : Trend Micro, SentinelOne
29 novembre 2024 à 08h44
