Des chercheurs en cybersécurité ont découvert que les pirates du groupe LockBit 3.0 testent actuellement des méthodes pour atteindre les appareils tournant sur MacOS avec leur ransomware.
L'outil ne semble pas encore pleinement compatible, mais il ne pourrait s'agir que d'une question de temps.
LockBit en chemin vers MacOS
Pour la première fois depuis l'apparition du groupe russophone LockBit, des fichiers de chiffrement LockBit ont été repérés sur des appareils MacOS. Cela semble indiquer qu'une opération de grande ampleur se prépare, mais les chercheurs de la MalwareHunterTeam restent prudents. La découverte de ces derniers a été faite sur le site VirusTotal, qui contient une archive ZIP dans laquelle on trouve la plupart des clés de chiffrement LockBit qui existent.
Jusque-là, ces clés étaient généralement déployées sur des serveurs Windows, VMware ESXI et Linux, mais il semble que de nouvelles clés cherchent à cibler les processeurs ARM, macOS, MIPS, SPARC et FreeBSD. Les découvertes ne s'arrêtent pas là, puisque le chercheur Florian Roth a débusqué une clé de chiffrement datant de décembre 2022, permettant de viser les Apple M1. Toutefois, Bleeping Computer indique que certaines chaînes ne sont pas à leur place dans les fichiers, et que cela semble correspondre à des phases de tests.
Une théorie confirmée par les chercheurs de chez Cisco Talos et Patrick Wardle, qui ajoutent que ces versions macOS sont loin d'être fonctionnelles, et qu'elles plantent lorsqu'elles sont activées. Reste que la menace est prise au sérieux et qu'il faudra surveiller attentivement les prochaines actions du groupe LockBit. Ce dernier a d'ailleurs confirmé à nos confrères qu'une version macOS de son ransomware était actuellement en phase de développement actif.
Cliniques, entreprises, LockBit fait parler de lui
Le groupe de pirates LockBit a beaucoup fait parler de lui ces dernières années, notamment en visant le ministère de la Justice française ainsi que le centre hospitalier sud francilien en août 2022. En novembre dernier, il a notamment revendiqué l'attaque de l'entreprise Thales, avant de mettre en ligne une archive de 9,5 Go contenant diverses données liées à l'entreprise.
Très récemment, il s'en est également pris au groupe BRL, un spécialiste de la gestion des eaux dans la région Occitanie. Sans surprise, LockBit menace de diffuser les informations recueillies, avec toutefois des limites annoncées : en janvier dernier, il avait présenté ses excuses pour une attaque visant l'hôpital SickKids de Toronto.
L'offensive avait fortement perturbé le fonctionnement des services d'imagerie et la publication des résultats d'analyse. LockBit avait rapidement déclaré que cette attaque venait d'un partenaire spécifique, qui a depuis été banni, car si le vol des données des patients est autorisé par le groupe, empêcher l'exécution des soins ne l'est pas. Le groupe avait ensuite fourni une clé permettant aux informaticiens de l'hôpital de débloquer son système.
Sources : Bleeping Computer / Norebbo
