Ransomware: Lockbit gelangt in ersten Schritten auf macOS
Es scheint, als wolle die Ransomware-Gruppe Lockbit ihre Aktivitäten auch auf macOS ausweiten. Diesen Eindruck vermittelt eine kürzlich gefundene Variante des Verschlüsselungsschädlings, der auf diversen Rechnern von Apple lauffähig ist. Aktuell kann dieser noch keinen Schaden anrichten, was sich bald aber ändern könnte.
Dieser Tage sind verschiedene Versionen des Schädlings auf VirusTotal aufgetaucht, von denen einige neben den PowerPC-Plattformen auch auf Apple-Silicon-Rechnern lauffähig sein sollen. Einer ersten Analyse der Sicherheitsexperten von „Objective-See“ zufolge soll es sich bei den gefundenen Dateien noch um ein frühes Entwicklungsstadium der Software handeln. Darauf deutet auch die Qualität des Quellcodes hin: So wirke dieser nach Aussage der Experten eher wie eine hastig erstellte Testversion, was unter anderem daran zu erkennen sei, dass der Code noch zahlreiche Zeichenketten enthält, die aus der Windows-Version übernommen zu sein scheinen.
Noch geringes Gefahrenpotenzial
Aktuell soll von dem Schädling noch keine große Gefahr ausgehen, denn aufgrund des fehlenden Code-Signing-Zertifikats sollte macOS die Ausführung des bisher zahnlosen Schädlings zuverlässig verhindern können. Daher wird die Gefährlichkeit aktuell noch als gering eingeschätzt. Dazu kommt, dass einige Programmierfehler dafür sorgen, dass Lockbit auf Mac-Rechnern bisher noch keinen Schaden anrichten kann. Wer die Aktivitäten der Gruppe und deren Fähigkeiten jedoch verfolgt weiß, dass sich dieser Zustand sehr schnell ändern kann. Aktuell lässt der Code jedoch noch einige Funktionen vermissen, die für eine wirksame Verschlüsselung sorgen, so die Experten.
Augen auf
Dennoch sollten macOS-Nutzer die Gefahr nicht auf die leichte Schulter nehmen, denn niemand weiß, ob nicht doch bereits eine wirksame Version des Schädlings in Umlauf ist. Darüber hinaus verfügt die Gruppe über ein enormes Wissen im Bereich Verschlüsselung, gehen doch rund ein Drittel aller Ransomware-Angriffe im letzten Jahr auf deren Konto – der direkte Konkurrent AlphV folgt erst weit dahinter. Alleine im vergangenen Februar soll Lockbit 126 Opfer auf ihrer Website genannt haben. Darüber hinaus bestätigte die Gruppe, an einer macOS-Version des Schädlings zu arbeiten.
Der Grund, warum Lockbit einen Großteil der Ressourcen auf ein Betriebssystem mit rund 17 Prozent Marktanteil verwendet und nicht nur auf Windows, dessen Marktanteil in der letzten Zeit zwar geschrumpft ist, aber immer noch bei knapp über 69 Prozent liegt, dürfte schnell erklärt sein: Da Geräte von Apple meist höherpreisig als vergleichbare Produkte der Konkurrenz sind, gehen Cyber-Kriminelle davon aus, dass diese über mehr finanzielle Mittel verfügen und daher auch mehr für die Freigabe ihrer Dateien zahlen würden. Daher dürfte es nur eine Frage der Zeit sein, bis auch für Mac-Nutzer eine potenzielle Gefahr besteht.