Uwaga: MacRansom może zaatakować Maca i zażądać 700 dol. okupu

Redakcja   21 czerwca 2017

Eksperci z FortiGuard Labs wykryli oprogramowanie ransomware-as-a-service (RaaS) skierowane na macOS, które nazwali MacRansom. Według nich, może być to pierwszy raz, kiedy RaaS dotyczy systemu Apple. Autorzy tego ransomware podają się za inżynierów Yahoo i Facebooka, specjalistów z wieloletnim doświadczeniem. MacRansom został przez nich udostępniony bezpłatnie w sieci TOR.

berrolia

Oto raport na ten temat przygotowany przez ekspertów od cyberbezpieczeństwa z Fortinet.

***

Wielu użytkowników systemu macOS zakłada, że ich komputery nie są narażone na ataki ransomware. Oczywiście mniej prawdopodobne jest, że sprzęt Apple zostanie zaatakowany lub zainfekowany, niż dzieje się to w przypadku systemu Windows. Wynika to jednak głównie z faktu, że ponad 90% komputerów osobistych działa w systemie Windows (tylko 6% w macOS) przez co są one częstszym celem dla cyberprzestępców.

Portal MacRansom

Specjaliści z FortiGuard Labs firmy Fortinet odkryli właśnie kolejne oprogramowanie z kategorii Ransomware-as-a-service (RaaS), w którym wykorzystano portal działający obecnie w sieci TOR. W tym wypadku ciekawsze jest jednak to, że cyberprzestępcy atakują system operacyjny inny niż Windows. Może to być pierwszy raz, kiedy RaaS dotyczy macOS.

Portal MacRansom w sieci TOR

MacRansom nie jest łatwo dostępny z poziomu portalu. Aby zbudować ransomware należy skontaktować się z jego autorami, którzy przedstawiają się w następujący sposób:

Jesteśmy inżynierami Yahoo i Facebooka. Podczas lat pracy jako badacze cyberzabezpieczeń odkryliśmy, że brakuje zaawansowanych malware’ów skierowanych do użytkowników macOS. Ponieważ w ostatnich latach produkty firmy Apple zyskują na popularności, to – według naszych badań – więcej osób niż kiedykolwiek wcześniej przenosi się na oprogramowanie macOS. Wierzymy, że ludzie potrzebują takich programów, dlatego udostępniliśmy te narzędzia bezpłatnie. W przeciwieństwie do większości hakerów w darknecie jesteśmy profesjonalistami z dużym doświadczeniem w rozwoju oprogramowania i rozległymi zainteresowaniami w prowadzeniu obserwacji. Możesz polegać na naszym oprogramowaniu, jak miliardy użytkowników na całym świecie polegają na naszych produktach w clearnecie.

Autorzy MacRansom opisali także jego najważniejsze cechy:

  • Niewidoczność – obecność oprogramowania całkowicie niewidoczna dla przeciętnego użytkownika Mac do zaplanowanego czasu uruchomienia
  • Szyfrowanie nie do złamania – 128-bitowy algorytm szyfrowania nie pozostawia ofierze innej możliwości niż zakupienie klucza deszyfrującego
  • Dyskrecja – raz zainstalowane oprogramowanie nie pozostawi śladów, które mogą być związane z tobą. Może ono zostać skonfigurowane tak, aby uruchomiło się w dowolnym momencie w przyszłości lub gdy zostanie podłączony zewnętrzny nośnik danych.
  • Szybkość – wszystkie pliki ofiary zostaną zaszyfrowane w mniej niż minutę

Wskazują również, dla kogo to oprogramowanie jest przeznaczone:

  • Dla osób, które chcą dyskretnie zemścić się na innym użytkowniku systemu Mac
  • Dla osób, które chcą w łatwy sposób zarobić pieniądze od niespodziewających się niczego członków rodziny, przyjaciół, znajomych, kolegów ze szkoły

Autorzy ransomware tłumaczą także: „Jeśli nie masz odpowiednich umiejętności z zakresu inżynierii społecznej, tak aby nakłonić twój cel do pobrania i kliknięcia w plik wykonywalny, musisz mieć fizyczny dostęp do jego Maca. Możemy też sprawić za dodatkową opłatą, aby program można było przesłać funkcją AirDrop i pocztą elektroniczną.”

Oraz opisują, jak działa cały proces:

  • Wyślij do nas emaila z następującymi wiadomościami:
  • Ilość bitcoinów, które ofiara miałaby zapłacić – minimum o równowartości 500 USD
  • Najwcześniejszy czas, w którym chciałbyś uruchomić program
  • Czy chciałbyś, aby program został uruchomiony, kiedy podłączony zostanie zewnętrzny nośnik, jak np. dysk USB
  • Wygenerujemy program i wyślemy go do ciebie mailem, musisz pobrać go za pomocą przeglądarki TOR
  • Przenieś go na dysk USB
  • Uzyskaj dostęp do komputera Mac ofiary i uruchom program
  • Upewnij się, że zobaczysz komunikat „Done” przed zamknięciem okna
  • Wrócimy do ciebie jak tylko otrzymamy płatność na odpowiednie konto bitcoin

Kliknięcie przycisku „Otwórz” powoduje zgodę na uruchamianie programu ransomware, które następnie wymaga zapłacenia 0,25 bitcoina (ok. 700 USD) okupu i kontaktu ofiary z getwindows@protonmail.com w celu odszyfrowania plików.

Powiadomienie ransomware

Podsumowanie

Nowe ransomware przeznaczone na system macOS należą do rzadkości. Nawet jeśli są znacznie mniej zaawansowane od nowoczesnych ransomware skierowanych na Windows, to i tak pozwalają na zaszyfrowanie plików ofiary, uniemożliwiając do nich dostęp i powodując znaczne szkody.

Nie ma idealnych sposobów na zapobieganie atakom ransomware. Ich skutki można minimalizować, wykonując regularnie kopie zapasowe ważnych plików, dbając o utrzymywanie aktualności systemu i ostrożnie podchodząc do plików pochodzących z nieznanych źródeł.

Każdy chętny do skorzystania z programów Ransomware-as-a-service musi pamiętać, że nie ma zapewnionej gwarancji anonimowości. – Użytkownicy mają coraz większą świadomość problemu, a dostawcy zabezpieczeń wciąż ulepszają metody wykrycia złośliwego oprogramowania – mówi Jolanta Malak, regionalny menedżer sprzedaży Fortinet na Polskę, Białoruś i Ukrainę. – Łatwy na pozór zarobek, jakim może się wydawać skorzystanie z modelu RaaS może skończyć się na szybkim wykryciu popełnionego przestępstwa i pobycie za kratkami.

 

Podobne tematy:

300x300-oslo

Podłącz się do nas na Twitterze lub Facebooku żeby nie przegapić żadnych informacji ze świata Apple.

Link Me Air – innowacyjny bezprzewodowy powerbank z nano-przyssawkami

Podłącz się do nas na Twitterze lub Facebooku, żeby nie przegapić żadnych informacji ze świata Apple.

Poprzedni post:

Następny post: