Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Ransomware LockBit nimmt künftig Macs ins Visier

Ransomware als tückisch zu bezeichnen, wäre wohl noch untertrieben: Die mittlerweile sehr ausgefeilten Erpressungstrojaner verschlüsseln die Daten auf fremden Computern und verlangen die Zahlung eines Lösegelds, um den Zugriff auf diese Daten wieder freizugeben. Bei LockBit handelt es sich um einen besonders prominenten Vertreter dieser Schadprogramme: Die Malware geht mit zielgerichteten und in den vergangenen Jahren zahlreichen Angriffen gegen Organisationen und Unternehmen vor. Im Zentrum der Attacken standen dabei stets vor allem Windows- und Linux-Rechner – nun taucht ein Build auf, der es auf Macs abgesehen hat.


LockBit für Macs mit ARM-Chips – und PowerPC-Prozessoren
Angriffe per LockBit sind seit September 2019 zu verzeichnen, seitdem verbreitete sich Schadsoftware auf dieser Basis rasant. Die hinter LockBit stehenden Akteure beteiligen sich jedoch nicht direkt an den Erpressungen, sondern erstellen die Malware-Kits, welche Interessierte mieten können. Die Sicherheitsforscher des MalwareHunterTeam machten nun eine besorgniserregende Entdeckung: Erstmals identifizierten sie einen LockBit-Build, welcher entwickelt wurde, um Rechner mit macOS zu gefährden. Die Gruppe hält es allerdings für denkbar, dass derartige Angriffe bereits im Herbst 2022 stattgefunden haben. Der Build-Name lautet „locker_Apple_M1_64“ und zielt wenig überraschend auf Macs mit Apple Silicon ab. Kurios: In dem vom MalwareHunterTeam durchforsteten Archiv mit LockBit-Trojanern findet sich auch Malware, welche Macs mit PowerPC-Prozessoren infizieren möchte.


Aktuell kaum Grund zur Sorge
Bislang scheint das Gefährdungspotenzial noch recht überschaubar zu sein: Der Sicherheitsforscher Patrick Wardle nahm sich des LockBit-Trojaners für den Mac an und gibt in einem Blog-Beitrag Entwarnung. Bereits beim Starten der Software blockiert macOS den Vorgang, da keine offizielle Signatur vorliegt. Wardle rät trotzdem zur Achtsamkeit und das aus gutem Grund: Gegenüber BleepingComputer erklärte ein Vertreter von LockBit, dass an einer Mac-Variante „aktiv entwickelt wird“.
Bericht zum neuen iPad Pro: Apple bestellt Millionen von OLED-Panels – Fokus auf 12,9"-Modell
Bericht zum neuen iPad Pro: Apple bestellt Mill...
Vor 30 Jahren: Apples Copland-Projekt startet – und reißt das Unternehmen fast in den Untergang
Vor 30 Jahren: Apples Copland-Projekt startet –...
Vision Pro: Apple stellt bisherige Strategie auf den Prüfstand
Vision Pro: Apple stellt bisherige Strategie au...
Kurz: Apple informiert WWDC-Ticketgewinner +++ Zwei weitere neue iPads geleakt
Kurz: Apple informiert WWDC-Ticketgewinner +++ ...
Mac-Praxis: APFS-Laufwerke überprüfen per Kommandozeile
Mac-Praxis: APFS-Laufwerke überprüfen per Komma...
Bald macOS 14.5 & iOS 17.5
Bald macOS 14.5 & iOS 17.5
Musikdienste im Wandel
Musikdienste im Wandel
iPhone 16: Die ersten Dummy-Modelle kursieren und zeigen Details
iPhone 16: Die ersten Dummy-Modelle kursieren u...

Kommentare

rosss17.04.23 12:45
Bei der Gelegenheit hättet ihr gleich auf RansomWhere? hinweisen können, gibt es – wie vieles andere – zur Absicherung eures Macs von Patrick Wardle:

+7
rosss17.04.23 12:47
https://objective-see.org/blog/blog_0x75.html
And though “RansomWhere?” is a bit dated, it appears to be able to generically detect this LockBit sample …even though it had no a priori knowledge of this malware:
+3
Mecki
Mecki17.04.23 14:02
Bislang musste fast jede Malware unter macOS von Hand gestartet und ihr von Hand dann die nötigen Sonderrechte eingeräumt werden (Zugriffsrechte, Admin Rechte, usw.). Mit anderen Worten: Man muss den Einbrechern die Tür aufhalten und ihnen auch noch verraten, wo die Wertgegenstände zu finden sind, sonst geht keine Gefahr von ihnen aus. Und solange man nichts unsigniertes startet, ist man sowieso fast immer sicher. Und dann gibt es noch eine vierten Grund warum von Malware am Mac weniger Gefahr ausgeht: Sehr viele macOS Nutzer haben Time Machine Backups und können ihr System innerhalb von wenigen Stunden komplett von so einem Backup wieder herstellen.

Hier zeigt sich also deutlich, wie wirkungsvoll die Sicherheitsmaßnahmen sind, die Apple von Haus schon anbietet. Die meisten Linux Systeme hingegen verlassen sich nach wie vor nur auf den Standard UNIX Systemschutz über restriktive Rechtevergabe. Erweiterungen wie SELinux kommen oft nicht zum Einsatz, Signaturen werden selten für irgendwas genutzt. Und bei Windows fehlt es hinten und vorne an Sicherheitskonzepten und ohne viel Geld in die Hand zu nehmen bekommt man oft nichts brauchbares. Erst kürzlich habe ich für Windows 8 eine zu Time Machine vergleichbare Lösung gesucht und nichts brauchbares gefunden, außer man zahlt halt extra dafür und oft ist das dann sogar ein Abo.
+11
Legoman
Legoman17.04.23 14:37
Mecki
Sehr viele macOS Nutzer haben Time Machine Backups und können ihr System innerhalb von wenigen Stunden komplett von so einem Backup wieder herstellen.
Gehe mal davon aus, dass der Angreifer alle angeschlossenen Laufwerke infiziert.
Bin mal auf sowas reingefallen (Windows), was sich in einem seriös scheinenden Softwarepaket versteckt hatte.
Konnte meinen Server nur deshalb retten, weil
- im ersten Ordner zigtausend Bilder liegen,
- ich es recht schnell bemerkt und den Stecker gezogen habe und
- natürlich von allem Backups existieren.
Der Vorgang war offenbar rechenintensiv. Datei verschlüsseln, Original löschen, nächste Datei.
Habe den Windows-Rechner komplett plattgemacht und alles andere aus Backup wieder hergestellt. War ne miese Handarbeit.

(Bei TM könnte es natürlich sein, dass die Zugriffsrechte den Angreifer an Veränderungen hindern.)
+5
candy123
candy12317.04.23 18:17
Legoman

Noch besser ist es das TM Backup zu verschlüsseln.
0
Tai
Tai17.04.23 18:53
Mecki
Sehr viele macOS Nutzer haben Time Machine Backups und können ihr System innerhalb von wenigen Stunden komplett von so einem Backup wieder herstellen.

Und was bringt dich dazu zu glauben, der Erpressungstrojaner würde vor dem (meist) angeschlossenen TimeMachine Volume haltmachn? Habe ich da was falsch verstanden?
+1
Tai
Tai17.04.23 18:55
candy123
Legoman Noch besser ist es das TM Backup zu verschlüsseln.

Ist es dem Trojaner nicht völlig schnurz, ob das TimeMachine verschlüsselt ist? Verschlüsselt er nicht einfach das verschlüsselte Volume?
+1
Laphroaig
Laphroaig17.04.23 22:57
Der 3CX-Desktop-Client war liebevoll signiert und trotzdem enthielt er Malware. Immerhin hat macOS mir das dann am gleichen Morgen auch von selbst gesagt, als die Meldungen frisch durch die News polterten. Mittags rief mich die IT-Abteilung der Firma sogar noch an.

Man fängt sich das Zeug also auch als normaler Mensch ein. Ist nur eine Frage der Zeit.
0
MacKaltschale17.04.23 23:50
candy123
LegomanNoch besser ist es das TM Backup zu verschlüsseln.

Generell ist das einzig Wahre ein zusätzliches Backup außer Haus. Am bequemsten und sichersten ist ein Online-Backup wie Arq , das vor dem Upload verschlüsselt, bei dem man sich aussuchen kann bei welchem Anbietern die Daten gespeichert werden sollen (Mehrauswahl möglich von HD, über NAS bis zu diversen Cloud-Anbietern) und das wie TimeMachine Versionen anlegt. Selbst dann, wenn Ransomwhere anfängt die Daten auf deiner Platte zu verschlüsseln, hast du also immer noch die älteren Kopien von vor dem Upload der unfreiwillig verschlüsselten Daten. Am sichersten ist es, wenn der Anbieter des Cloud-Speichers dir ebenfalls Backups der Daten anbietet.
Meine Strategie ist lokal TimeMachine und jeweils ein bis zwei Platten mit geklonten Volumes, die EMP-sicher gelagert werden. Dazu online Backups mit Arq, wobei die allerwichtigsten Daten mehrfach bei diversen Anbieter gespeichert werden.
0
Peter Eckel18.04.23 09:55
MacKaltschale
Generell ist das einzig Wahre ein zusätzliches Backup außer Haus. Am bequemsten und sichersten ist ein Online-Backup wie Arq ...
Finde den Fehler.

1. Sicher und bequem widersprechen sich. Sicher ist unbequem.
2. Sicher und online widersprechen sich. Nur offline ist sicher. Einigermaßen.
MacKaltschale
Meine Strategie ist lokal TimeMachine und jeweils ein bis zwei Platten mit geklonten Volumes, die EMP-sicher gelagert werden.
Das wiederum ist eine gute Idee.

Meine unbequemen offline-Backups liegen ein paar Kilometer entfernt in einem Tresor. Relevante Daten (das sind nicht so wahnsinnig viele) so auf einem Sever in einem RZ viele hundert Kilometer entfernt, daß sie für das Betriebssystem nicht online erreichbar sind (und auch für sonst niemanden, das Laufwerk ist verschlüsselt und wird nur bei Bedarf manuell gemountet).
Ceterum censeo librum facierum esse delendum.
+1
MacKaltschale20.04.23 02:11
Peter Eckel
MacKaltschale
Generell ist das einzig Wahre ein zusätzliches Backup außer Haus. Am bequemsten und sichersten ist ein Online-Backup wie Arq ...
Finde den Fehler.

1. Sicher und bequem widersprechen sich. Sicher ist unbequem.
2. Sicher und online widersprechen sich. Nur offline ist sicher. Einigermaßen.
MacKaltschale
Meine Strategie ist lokal TimeMachine und jeweils ein bis zwei Platten mit geklonten Volumes, die EMP-sicher gelagert werden.
Das wiederum ist eine gute Idee.

Meine unbequemen offline-Backups liegen ein paar Kilometer entfernt in einem Tresor. Relevante Daten (das sind nicht so wahnsinnig viele) so auf einem Sever in einem RZ viele hundert Kilometer entfernt, daß sie für das Betriebssystem nicht online erreichbar sind (und auch für sonst niemanden, das Laufwerk ist verschlüsselt und wird nur bei Bedarf manuell gemountet).

Die Daten sind online doppelt verschlüsselt. Einmal hier vor dem Transport und dann auf dem Server. Extrem unwahrscheinlich, dass da jemand rankommt. Die wirklich kritischen Daten sind zudem ein drittes Mal verschluesselt.
-1
Peter Eckel20.04.23 08:48
MacKaltschale
Die Daten sind online doppelt verschlüsselt. Einmal hier vor dem Transport und dann auf dem Server. Extrem unwahrscheinlich, dass da jemand rankommt. Die wirklich kritischen Daten sind zudem ein drittes Mal verschluesselt.
Im Kontext von Ransomware - darum geht es - ist es vollkommen unerheblich, wie gut oder schlecht Deine Daten auf dem "Cloud"-Speicher verschlüsselt sind.

Wenn die richtige Ransomware zuschlägt, sind sie im Zweifel noch einmal mehr verschlüsselt. Das ist dann aber mitnichten noch sicherer

Ergo: "Online" und "sicher" ist ein Widerspruch.
Ceterum censeo librum facierum esse delendum.
0
MacKaltschale20.04.23 16:20
Peter Eckel
MacKaltschale
Die Daten sind online doppelt verschlüsselt. Einmal hier vor dem Transport und dann auf dem Server. Extrem unwahrscheinlich, dass da jemand rankommt. Die wirklich kritischen Daten sind zudem ein drittes Mal verschluesselt.
Im Kontext von Ransomware - darum geht es - ist es vollkommen unerheblich, wie gut oder schlecht Deine Daten auf dem "Cloud"-Speicher verschlüsselt sind.

Wenn die richtige Ransomware zuschlägt, sind sie im Zweifel noch einmal mehr verschlüsselt. Das ist dann aber mitnichten noch sicherer

Ergo: "Online" und "sicher" ist ein Widerspruch.

Ja eben nicht. Wenn du dem Link gefolgt wärst, dann hättest du mitbekommen, dass Arq wie wie TimeMachine funktioniert, nur viel besser.
Wenn die Ransomware verschluesselt, dann fällt das zwar Arq auf, weil die Datei verändert wurde und sie wird im nächsten Backup mit hochgeladen. Aber die unverschlüsselte Datei von vor dem Befall mit Ransomware befindet sich weiterhin im Backup und zu der kann ich jederzeit zurück. Also genau die Sicherheit, die man gegen Ransomware benötigt. Sollte irgendetwas anderes schiefgehen, dann kann ich das Backup an sich wiederherstellen über das Backup des Backups, das wiederum im Rechenzentrum automatisch erstellt wird. (Zumindest bei meinem Anbietern)

Aber sicher kannst du mir gleich erklären, wie die Ransomware den Server, auf dem meine verschlüsselten Daten liegen, infiziert. Nein, kannst du nicht, weil das unmöglich ist.

Und das schöne an Arq ist, dass die Daten durch ihren Lagerort auch kein besonders interessantes Angriffsziel sind, da man sie speichern kann, wo immer man will. Auch im eigenen Netzwerk. Und an verschiedenen Orten, so viele Kopien, wie man eben haben will.

Die einzigen Schwachpunkte sind:
- Der Anbieter von Arq. Dem muss ich jederzeit vertrauen. Also vertrauen, dass er die Daten wirklich nur dorthin lädt, wo sie hingehören und zwar verschlüsselt.
- Die Verschlüsselung an sich. Aber noch gilt die als ausreichend sicher.

"Online" und "sicher" ist ein Widerspruch.“ wird zur hohlen Phrase, wenn man die Umstände nicht richtig betrachtet.

Ich habe mir alle anderen Lösungen angesehen und das war die einzige, die wirklich in Frage kam.
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.