Los propietarios y usuarios de ordenadores Mac no suelen sufrir por los problemas de seguridad que tienen los de otros equipos. Sobre todo, los que utilizan el sistema operativo Windows. Pero ya no están tan seguros, porque expertos de MalwareHunterTeam han identificado lo que parece ser la primera instancia de ransomware que se dirige de manera específica a equipos con MacOS: una versión de LockBit.
Al parecer, esta versión del ransomware puede atacar a todos los modelos de Mac, desde los que datan de la década de los 90 del siglo pasado y utilizan procesadores PowerPC hasta las máquinas más recientes, con chips M1. Todo apunta a que ha sido desarrollada por hackers de origen ruso, que se encargan de gestionar y dirigir los ataques de LockBit a través de un negocio de ransomware como servicio.
Este servicio funciona mediante la licencia del ransomware del grupo a terceros, de manera que cualquier colectivo o atacante que se haga con ellos puede comprar y desplegar su sistema de ataque con un click. Eso sí, aunque la mayoría del grupo que ha desarrollado LockBit tiene el ruso como idioma, su líder opera al parecer desde China o Estados Unidos.
La versión para Mac de LockBit es un malware típico que bloquea y cifra los archivos de un usuario, para después pedir un rescate para desencriptarlos. Si la víctima no paga, amenazan con publicar los archivos para que cualquiera pueda acceder a ellos, o los venden al mejor postor.
LockBit no solo puede atacar máquinas de manera individual, ya que si estas se encuentran conectadas a una red, puede expandirse a otros equipos que estén en ella. Debido a su diseño, hasta ahora se ha utilizado sobre todo con grandes empresas y entidades gubernamentales, en vez de con usuarios particulares. Los potenciales rescates que las grandes entidades pueden pagar son más elevados, de ahí su escaso uso con redes personales y empresas de tamaño reducido. Lo mismo sucede con el daño que pueden hacer: es mucho mayor en grandes corporaciones y gobiernos.
El giro que supone una versión de LockBit para Mac parece suponer una ampliación de su estrategia, ya que el uso de equipos Mac no es mayoritario, salvo en compañías muy determinadas. En cualquier caso, parece que esta no es la primera vez que aparecen versiones de este ransomware para Mac. Al parecer, se descubrió por primera vez el pasado mes de noviembre, pero ha pasado desapercibido hasta ahora. Es posible que esto se deba a que el software estaba entonces en la fase de envío a terceros o, sencillamente, en pruebas.
Según Bleeping Computer, en un archivo comprimido subido a Virustotal, estaban incluidos todos los cifradores para Mac. Aunque BitLocker solo atacaba hasta ahora ordenadores con Windows y Linux, y máquinas virtuales, la lista de archivos del fichero ZIP mencionado incluía variantes para MacOS, ARM, FreeBSD, MIPS y CPUs Sparc.
A pesar de la aparición de esta versión de BitLocker para Mac, parece que los propietarios de estos equipos no tienen mucho de qué preocuparse a corto plazo, porque al parecer los archivos que hay en el fichero comprimido no están listos para su despliegue en ataques contra equipos con MacOS. Al parecer, estos cifradores parecen ser una prueba o estar todavía en desarrollo, porque para empezar, les falta la funcionalidad necesaria para cifrar Macs con éxito.
Según el experto en ciberseguridad Patrick Wardle, estas versiones de LockBit parecen estar basadas en las de Linux, y compiladas después para MacOS con algunos ajustes básicos de configuración. Pero no es la única carencia o problema que tienen porque al parecer, cuando se lanza el cifrador para MacOS, falla por un bug de buffer overflow en su código.