Uwaga: MacRansom może zaatakować Maca i zażądać 700 dol. okupu

by Redakcja on 21 czerwca 2017

Eksperci z FortiGuard Labs wykryli oprogramowanie ransomware-as-a-service (RaaS) skierowane na macOS, które nazwali MacRansom. Według nich, może być to pierwszy raz, kiedy RaaS dotyczy systemu Apple. Autorzy tego ransomware podają się za inżynierów Yahoo i Facebooka, specjalistów z wieloletnim doświadczeniem. MacRansom został przez nich udostępniony bezpłatnie w sieci TOR.

Oto raport na ten temat przygotowany przez ekspertów od cyberbezpieczeństwa z Fortinet.

***

Wielu użytkowników systemu macOS zakłada, że ich komputery nie są narażone na ataki ransomware. Oczywiście mniej prawdopodobne jest, że sprzęt Apple zostanie zaatakowany lub zainfekowany, niż dzieje się to w przypadku systemu Windows. Wynika to jednak głównie z faktu, że ponad 90% komputerów osobistych działa w systemie Windows (tylko 6% w macOS) przez co są one częstszym celem dla cyberprzestępców.

Portal MacRansom

Specjaliści z FortiGuard Labs firmy Fortinet odkryli właśnie kolejne oprogramowanie z kategorii Ransomware-as-a-service (RaaS), w którym wykorzystano portal działający obecnie w sieci TOR. W tym wypadku ciekawsze jest jednak to, że cyberprzestępcy atakują system operacyjny inny niż Windows. Może to być pierwszy raz, kiedy RaaS dotyczy macOS.

Portal MacRansom w sieci TOR

MacRansom nie jest łatwo dostępny z poziomu portalu. Aby zbudować ransomware należy skontaktować się z jego autorami, którzy przedstawiają się w następujący sposób:

Jesteśmy inżynierami Yahoo i Facebooka. Podczas lat pracy jako badacze cyberzabezpieczeń odkryliśmy, że brakuje zaawansowanych malware’ów skierowanych do użytkowników macOS. Ponieważ w ostatnich latach produkty firmy Apple zyskują na popularności, to – według naszych badań – więcej osób niż kiedykolwiek wcześniej przenosi się na oprogramowanie macOS. Wierzymy, że ludzie potrzebują takich programów, dlatego udostępniliśmy te narzędzia bezpłatnie. W przeciwieństwie do większości hakerów w darknecie jesteśmy profesjonalistami z dużym doświadczeniem w rozwoju oprogramowania i rozległymi zainteresowaniami w prowadzeniu obserwacji. Możesz polegać na naszym oprogramowaniu, jak miliardy użytkowników na całym świecie polegają na naszych produktach w clearnecie.

Autorzy MacRansom opisali także jego najważniejsze cechy:

  • Niewidoczność – obecność oprogramowania całkowicie niewidoczna dla przeciętnego użytkownika Mac do zaplanowanego czasu uruchomienia
  • Szyfrowanie nie do złamania – 128-bitowy algorytm szyfrowania nie pozostawia ofierze innej możliwości niż zakupienie klucza deszyfrującego
  • Dyskrecja – raz zainstalowane oprogramowanie nie pozostawi śladów, które mogą być związane z tobą. Może ono zostać skonfigurowane tak, aby uruchomiło się w dowolnym momencie w przyszłości lub gdy zostanie podłączony zewnętrzny nośnik danych.
  • Szybkość – wszystkie pliki ofiary zostaną zaszyfrowane w mniej niż minutę

Wskazują również, dla kogo to oprogramowanie jest przeznaczone:

  • Dla osób, które chcą dyskretnie zemścić się na innym użytkowniku systemu Mac
  • Dla osób, które chcą w łatwy sposób zarobić pieniądze od niespodziewających się niczego członków rodziny, przyjaciół, znajomych, kolegów ze szkoły

Autorzy ransomware tłumaczą także: „Jeśli nie masz odpowiednich umiejętności z zakresu inżynierii społecznej, tak aby nakłonić twój cel do pobrania i kliknięcia w plik wykonywalny, musisz mieć fizyczny dostęp do jego Maca. Możemy też sprawić za dodatkową opłatą, aby program można było przesłać funkcją AirDrop i pocztą elektroniczną.”

Oraz opisują, jak działa cały proces:

  • Wyślij do nas emaila z następującymi wiadomościami:
  • Ilość bitcoinów, które ofiara miałaby zapłacić – minimum o równowartości 500 USD
  • Najwcześniejszy czas, w którym chciałbyś uruchomić program
  • Czy chciałbyś, aby program został uruchomiony, kiedy podłączony zostanie zewnętrzny nośnik, jak np. dysk USB
  • Wygenerujemy program i wyślemy go do ciebie mailem, musisz pobrać go za pomocą przeglądarki TOR
  • Przenieś go na dysk USB
  • Uzyskaj dostęp do komputera Mac ofiary i uruchom program
  • Upewnij się, że zobaczysz komunikat „Done” przed zamknięciem okna
  • Wrócimy do ciebie jak tylko otrzymamy płatność na odpowiednie konto bitcoin

Kliknięcie przycisku „Otwórz” powoduje zgodę na uruchamianie programu ransomware, które następnie wymaga zapłacenia 0,25 bitcoina (ok. 700 USD) okupu i kontaktu ofiary z getwindows@protonmail.com w celu odszyfrowania plików.

Powiadomienie ransomware

Podsumowanie

Nowe ransomware przeznaczone na system macOS należą do rzadkości. Nawet jeśli są znacznie mniej zaawansowane od nowoczesnych ransomware skierowanych na Windows, to i tak pozwalają na zaszyfrowanie plików ofiary, uniemożliwiając do nich dostęp i powodując znaczne szkody.

Nie ma idealnych sposobów na zapobieganie atakom ransomware. Ich skutki można minimalizować, wykonując regularnie kopie zapasowe ważnych plików, dbając o utrzymywanie aktualności systemu i ostrożnie podchodząc do plików pochodzących z nieznanych źródeł.

Każdy chętny do skorzystania z programów Ransomware-as-a-service musi pamiętać, że nie ma zapewnionej gwarancji anonimowości. – Użytkownicy mają coraz większą świadomość problemu, a dostawcy zabezpieczeń wciąż ulepszają metody wykrycia złośliwego oprogramowania – mówi Jolanta Malak, regionalny menedżer sprzedaży Fortinet na Polskę, Białoruś i Ukrainę. – Łatwy na pozór zarobek, jakim może się wydawać skorzystanie z modelu RaaS może skończyć się na szybkim wykryciu popełnionego przestępstwa i pobycie za kratkami.

 

Podobne tematy:

300x300-oslo

Podłącz się do nas na Twitterze lub Facebooku żeby nie przegapić żadnych informacji ze świata Apple.

Link to our Facebook Page
Link to our Rss Page
Link to our Twitter Page
Link to our Youtube Page
  • Ciekawe, choć to ewidentne oprogramowanie, które samo się nie zainstaluje. Ktoś musi to zainstalować na Macu. Poza tym nie jestem przekonany czy zewnętrzny program może mieć dostęp do funkcji szyfrowania dysku.

Previous post:

Next post: