Bislang war Lockbit für Mac-Nutzer nur ein Fremdwort, die berüchtigte Ransomware-Gruppe hat jedoch nach Angaben des FBI von unterschiedlichen Firmen und Institutionen mittlerweile um 100 Millionen US-Dollar erpresst. Seit dem Wochenende kursiert auf diversen Sicherheitsforen und -Blogs die Erpresser-Software von Lockbit, angepasst für Macs.
Eine ausführliche Analyse der Datei hat der Sicherheitsexperte Patrick Wardle von „Objective See“ durchgeführt, auch „Bleeping Computer“ hat sich den Code näher angeschaut. In der Theorie sollte die Ransomware auf dem Rechner nach Nutzerdaten suchen, diese mit einer Verschlüsselungs-Library (womöglich Sodium) verschlüsseln und eine Aufforderung zur Zahlung vom Lösegeld aufrufen. Ansonsten drohen die Erpresser mit der Veröffentlichung der verschlüsselten Daten im Darknet, die sich dort jederzeit die Konkurrenz schnappen können soll – eine weitere Drohung. In einem weiteren Abschnitt warnen die Erpresser davor, eigene Cyber-Versicherungen zu den Verhandlungen dazuzuschalten und stattdessen den Erpressern über die Details der Versicherung berichten.
Lesetipp: Mac-Ransomware Findzip – Daten können entschlüsselt werden
In der Praxis aber ist die Mac-Ransomware von Lockbit eher ein Testballon als eine ernstzunehmende Bedrohung, zumindest im heutigen Zustand. Laut Wardle ist die Ransomware schlampig programmiert, sodass es auf seinem Test-Computer zu einem Buffer-Overflow kam. Sehr viele Code-Schnipsel stammen aus der Windows-Welt, worauf Dateiendungen wie „.exe“ hindeuten. Die Ransomware-Entwickler haben Wardle zufolge noch gar nicht die Sicherheitsmechanismen von macOS in Betracht gezogen und versucht, diese umzugehen. So ist die Ransomware mit einer temporären Signatur signiert, für die der Mac eine Warnung anzeigen wird, wenn die Ransomware versucht, sich zu installieren. Mit der SIP (System Integrity Protection) sind wichtige Systemdateien auf dem Mac außerdem vor einer Veränderung geschützt, auch diese Hürde wurde bei Lockbit-Ransomware nicht beachtet.
Die Entwarnung ist jedoch nur von temporärer Natur: „Bleeping Computer“ hat am Wochenende den Kontakt zu den Ransomware-Entwicklern von Lockbit aufgenommen und herausgefunden, dass sich die Mac-Ransomware „in aktiver Entwicklung“ befindet.
Autor: Halyna Kubiv, Redakteurin
Halyna Kubiv ist seit 2010 bei der Macwelt. Nicht nur Apple-Produkte sind ihre Leidenschaft, sondern auch Themen rund um Fitness und Gesundheit.