Stop aux demandes de rançon

🔍 Contexte général : les rançongiciels sur macOS

Contrairement aux idées reçues, macOS n’est pas immunisé contre les ransomware : des malwares comme KeRanger (2016), Patcher (2017) ou EvilQuest/ThiefQuest (2020) ont démontré des modèles de chiffrement et de vol de données ciblant des Macs BlackFog+7SecureMac+7halcyon.ai+7.

❗ Toutefois, ces premières variantes étaient mal conçues, échec matériel ou cryptage faible, et n’ont généré aucun paiement de rançon documenté SentinelOne ES+1AUCOEURDUMAC+1.

⚠️ La grande évolution : LockBit pour Mac

En avril 2023, un échantillon de LockBit compilé pour Apple Silicon (M1/M2) a été identifiéSecureMac+3SentinelOne ES+3blog.avast.com+3. Bien qu’il s’agisse d’un POC (Proof of Concept) non distribué à grande échelle, cela montre que LockBit – un gang cybercriminel majeur – travaille activement à cibler macOSYouTube+2SentinelOne ES+2SecureMac+2.

À date (juillet 2025) :

• Aucune attaque fonctionnelle ou effective n’a encore été confirmée.

• LockBit pour Mac manque de persistance, de signature valide, et reste instable ou inopérant dans sa version actuelle BlackFog+3SecureMac+3YouTube+3AUCOEURDUMAC+6SentinelOne ES+6BlackFog+6.

🧠 Risques actuels et perspectives

• Selon SecureMac, les rançongiciels macOS ne constituent pas encore une menace immédiate, mais les perspectives changent rapidement, car les Macs gagnent en popularité dans les entreprisesSecureMac+1Reuters+1.

• Le danger réel aujourd’hui réside davantage dans les modules de vol de données (infostealers), utilisés dans les versions modernes de malware comme EvilQuest, plus que dans le chiffrement pur CM Alliance+2kandji.io+2SentinelOne ES+2.

• Kandji a publié qu’un malware découvert en mars 2025, nommé PasivRobber, cible les apps chinoises WeChat et QQ pour exfiltration de données, confirmant la montée en puissance des menaces de type vol de données sur macOS kandji.io.

🛠️ Que faire si votre Mac est bloqué par une demande de rançon ?

L’article original d’aucoeurdumac (janvier 2024) recommandait déjà une démarche prudente :

1. Ne pas payer la rançon

2. Déconnecter du réseau

3. Utiliser un appareil non infecté pour rechercher le type de ransomware

4. Prendre une photo de la demande

5. Contacter les autorités et un professionnel

6. Vérifier les sauvegardes

7. Réinitialiser si nécessaire

8. Mettre à jour le système et logiciels

9. Apprendre et renforcer ses pratiques de sécuritéReuters+9AUCOEURDUMAC+9blog.avast.com+9kandji.io+1blog.avast.com+1

🔄 Ces recommandations restent bonnes et doivent être complétées avec :

• Sauvegardes fréquentes et isolées (Time Machine, stockage hors ligne, cloud sécurisé).

• Antivirus/EDR compatible macOS, capable de détecter des échantillons préliminaires comme LockBit ou l’activé PasivRobber.

• Mises à jour régulières de macOS et des applications, pour corriger les vulnérabilités exploitées.

📌 Synthèse mise à jour

🧭 Recommandations concrètes à retenir

1. Sauvegardez souvent, sur des supports non accessibles en écriture depuis le Mac principal.

2. Installez un antivirus/EDR reconnu sur macOS : la majorité détecte déjà les échantillons LockBit et PasivRobber, MalwareBytes est suffisant même en version gratuite, surtout pas NORTON, un virus à lui tout seul sur Mac !!

3. Ne payez jamais une rançon, cela ne garantit rien.

4. Déconnectez immédiatement si le Mac est bloqué, puis consultez un expert, comme Jean-Michel.

5. Signalez l’incident aux autorités (police ou service cyber) – cela peut aider à identifier les acteurs.

6. Adoptez les bonnes pratiques : mise à jour complète du système, vigilance aux téléchargements non officiels, phishing, etc.

En résumé, il faut prendre très au sérieux la montée des menaces macOS, même si le ransomware véritable reste marginal pour l’instant. Les indices montrent clairement un virage vers le vol de données et les extorsions. Rester proactif et informé est plus que jamais essentiel et surtout ne soyez pas naïf !!