macOSにもやって来る

ランサムウェア攻撃の猛威はまだ続いています。
いろいろな脅威グループが現れ、さまざまな方向性で攻勢を仕掛けてきています。

大規模に展開するランサムウェアグループは複数ありますが、そのなかでも大きいものの一つにLockBitがあります。
これまでもLockBitは活動の範囲を広げてきています。
Windows環境がターゲットになりました。
Linux環境もターゲットになりました。
ESXi環境もターゲットになりました。
次々に人々が使用する企業活動環境をターゲットとして狙える状態に拡張されてきました。

LockBitが最近展開しているもののなかに、ついにmacOSをターゲットとしたものが含まれていることが観測されています。

確認されているマルウェアファイルのファイル名はlocker_Apple_M1_64です。
Unix系のOSで利用できるファイルの種類を確認することのできるコマンドにfileというコマンドがあります。
このfileコマンドでこのlocker_Apple_M1_64を調べると次のように表示されます。

$ file ./locker_Apple_M1_64
./locker_Apple_M1_64: Mach-O 64-bit executable arm64
$

このサンプルの確認結果は前述の通り「Mach-O」と「arm64」を含んでいます。
これはこのランサムウェアがM1 CPUで動作するmacOSを狙って実装されコンパイルされたものであることを示しています。

macOS環境を狙ったマルウェアはこれまでも多数観測されていますが、macOS環境を狙うランサムウェアは出始めに思えます。
現時点ではこのlocker_Apple_M1_64はバグが多いようでそのまま使っても攻撃は成立しない仕上がりのようです。
しかし、ついにmacOSもランサムウェアのターゲットになってきているという点に注意が必要です。
遠くない将来、脅威アクターの意図した動作ができるmacOS向けのランサムウェアが登場することが予測されます。
この動きはおそらくLockBitに限ったことではなくなることでしょう。

参考記事（外部リンク）：MalwareHunterTeam
https://twitter.com/malwrhunterteam/status/1647384505550876675