พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายไปยัง macOS [EndUser]

MalwareHunterTeam ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยเฉพาะ ซึ่งเป็นครั้งแรกที่พบปฏิบัติการของกลุ่ม Ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยตรง

โดย MalwareHunterTeam พบตัวเข้ารหัสดังกล่าวจากไฟล์ ZIP บน VirusTotal ที่ถูกอัพโหลดขึ้นไปในเดือนธันวาคม 2022 ซึ่งพบว่ามีตัวเข้ารหัสของ LockBit ransomware อยู่ด้วย ซึ่งพบว่ามีตัวเข้ารหัสสำหรับระบบที่ไม่เคยถูกพบมาก่อนเช่น macOS, ARM, FreeBSD, MIPS และ SPARC CPUs

นอกจากนี้ยังพบว่ามีตัวเข้ารหัสที่ชื่อว่า 'locker_Apple_M1_64' ที่กำหนดเป้าหมายไปยัง Macs รุ่นใหม่ที่ทำงานบน Apple Silicon รวมไปถึงยังมีตัวเข้ารหัสสำหรับ PowerPC CPU ของ Macs รุ่นเก่าอีกด้วย

ซึ่งในอดีต กลุ่ม LockBit ransomware จะมุ่งเป้าหมายการโจมตีไปยัง Windows, Linux และ VMware ESXi servers เป็นหลัก

ตัวเข้ารหัสข้อมูลที่กำลังอยู่ในช่วงการทดสอบ

BleepingComputer ได้ทำการวิเคราะห์สตริงในตัวเข้ารหัส LockBit สำหรับ Apple M1 โดยพบสตริงที่ไม่อยู่ในตำแหน่งที่ถูกต้องสำหรับตัวเข้ารหัส macOS ทำให้เห็นว่าสตริงเหล่านี้น่าจะอยู่ในช่วงการทดสอบ ตัวอย่างเช่น การพบค่าสตริงของ VMware ESXi ซึ่งไม่อยู่ในตำแหน่งที่ถูกต้องในการเข้ารหัส Apple M1 เนื่องจาก VMare ประกาศว่าจะไม่สนับสนุนสถาปัตยกรรม CPU ดังกล่าวของ Apple

 

 

 

 

 

 

 

 

 

รวมไปถึงการพบตัวเข้ารหัสที่มีรายการนามสกุลไฟล์ และชื่อไฟล์กว่าหกสิบห้ารายการที่ไม่อยู่ในการที่จะถูกเข้ารหัส ซึ่งทั้งหมดเป็นนามสกุลไฟล์ และโฟลเดอร์ของ Windows ทำให้ตัวเข้ารหัส Apple M1 จะไม่สามารถเข้ารหัสข้อมูลได้ รวมไปถึงสตริง ESXi และ Windows เกือบทั้งหมด มีอยู่ในตัวเข้ารหัส MIP และ FreeBSD

 

 

 

 

 

 

 

 

 

แสดงให้เห็นว่าตัวเข้ารหัสข้อมูลดังกล่าวกำลังอยู่ในช่วงการทดสอบ และพัฒนา เช่นเดียวกับนักวิจัยของ Cisco Talos และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ macOS ที่ได้ระบุว่าตัวเข้ารหัสดังกล่าวกำลังอยู่ในระหว่างการพัฒนา และทดสอบอยู่ โดยระบุว่าตัวเข้ารหัสยังไม่สมบูรณ์เนื่องจากขาดฟังก์ชันที่จำเป็นในการเข้ารหัสบน Macs ที่ถูกต้อง

 

 

 

 

 

 

 

 

 

 

 

 

BleepingComputer เปิดเผยว่า ภายหลังจากการสอบถามไปยัง LockBitSupp ซึ่งเป็นตัวแทนของกลุ่ม LockBit ถึงการค้นพบดังกล่าว โดยทาง LockBitSupp ตอบกลับมาว่า “ตัวเข้ารหัสข้อมูลดังกล่าวกำลังอยู่ในช่วงการพัฒนาอย่างเต็มที่” เป็นการบ่งบอกว่านอกจากการมุ่งเป้าหมายการโจมตีไปยังองค์กร หรือบริษัทขนาดใหญ่แล้ว กลุ่ม LockBit ยังได้มีเป้าหมายไปยังผู้ใช้งาน และธุรกิจขนาดเล็กอีกด้วย

ที่มา : bleepingcomputer