Après Windows, Linux et VMware ESXi, c'est au tour des utilisateurs des Mac les plus récents d'être dans le viseur du gang de cybercriminels Lockbit spécialisé dans les ransomwares. L'alerte a été donnée par MalwareHunterTeam qui a identifié la présence parmi les échantillons de la base de données VirusTotal d'un fichier « locker_Apple_M1_64 ». Ce sample, qui remonterait à décembre 2022, figure parmi bien d'autres relatifs à des systèmes embarquant des puces PowerPC présentes dans des systèmes Mac plus anciens, et également bien d'autres (ARMv5, v6 et v7, MIPS64, SPARC32...).
Analysées par BleepingComputer, les chaînes de caractères se trouvant dans le chiffreur LockBit pour la puce M1 ont probablement été assemblées au hasard lors d'un test. « Par exemple, il y a de nombreuses références à VMware ESXi, ce qui n'a pas sa place dans un chiffrement Apple M1, VMware ayant annoncé qu'il ne prendrait pas en charge l'architecture CPU », indique notre confrère. « Presque toutes les chaînes ESXi et Windows sont également présentes dans les chiffreurs MIP et FreeBSD, ce qui indique qu'ils utilisent une base de code commune. La bonne nouvelle est que ces chiffreurs ne sont probablement pas prêts à être déployés dans des attaques réelles contre des terminaux macOS ».
Un chiffreur activement en cours de développement
Azim Khodjibaev, chercheur en chez Cisco Talos, tout comme l'expert en cybersécurité Patrick Wardle ont de leur côté précisé que les chiffreurs macOS ont été réalisés à des fins de tests et qu'ils leur manquent des fonctionnalités nécessaires pour crypter correctement ces systèmes. Pour l'instant les utilisateurs de Mac équipés en puces M1 semblent donc à l'abri, reste à savoir pour combien de temps encore. Pas longtemps si l'on en croit l'un des représentants de Lockbit ayant indiqué à BleepingComputer que ce chiffreur Mac est « activement en cours de développement ».