Criminalii cibernetici vara nu dorm. Un nou ransomware ameninta utilizatorii de macOS

 

Din nou despre securitate IT. Spre deosebire de majoritatea atacurilor de tip ransomware despre care am mai scris in ultimele luni, acesta vizeaza sistemul de operare macOS, pe care toti specialistii din domeniu il considerau imun la acest tip de atacuri.

Motivele pentru care utilizatorii acestui sistem de operare au fost atat de privilegiati sunt, pe de-o parte  faptul ca sistemul macOS este construit pe structura Unix securizata si, pe de alta parte, cota mica de piata detinuta de device-urile Apple Mac (circa 6%) comparativ cu cele Microsoft Windows (circa 92%).

Dar se pare ca ceea ce stiam in urma cu cateva luni nu mai este valabil in prezent. Device-urile Apple au inceput sa castige teren in multe organizatii, in special in randul celor din upper management si a echipelor de marketing, persoane care folosesc si vehiculeaza informatii esentiale pentru organizatie. Iata deci un grup demografic foarte atragator pentru criminalii cibernetici.

 

Cat de periculos este MacRansom?

 

Conform informatiilor prezentate si analizate de inginerii in securitate de la FortiGuard Labs, victima trebuie sa plateasca 0.25 bitcoin, adica aproximativ $700 pentru a decripta fisierele, desi inca nu exista certitudinea posibilitatii decriptarii acestora.

In sectiunea FAQ a portalului MacRansom este descris faptul ca utilizatorii de macOS sunt dispusi sa plateasca si $1000 pentru recuperarea fisierelor.

Atacatorul poate achiziona MacRansom impreuna cu un alt software malitios – Macspy – un virus de tip spyware care permite monitorizarea unui computer infectat, capturarea de parole si alte informatii confidentiale prin inregistrarea tastelor apasate si chiar inregistrari audio.

In spatele acestui nou ransomware se afla fosti ingineri in securitate it de la Facebook si Yahoo, cu experienta vasta in dezvoltare de software.

Analizele ransomware-ului arata ca:

  • Aceasta este invizibil utilizatorului de macOS pana la executarea lui.
  • Poate cripta fisiere folosind cheie de criptare de 128 bit in mai putin de un minut.
  • Nu are urma digitala.

 

Din punctul de vedere al atacatorului, cel care doreste sa achizitioneze malware-ul va trebui sa-i contacteze direct pe creatorii acestuia, la o adresa de email securizata cu ProtonMail. Doi cercetatori din echipa Fortinet au mers pe aceasta cale si dupa un schimb de email-uri cu creatorii ransomware-ului au reusit sa primeasca, intr-un final, un fisier .zip ce continea MacRansom.

 

MacRansom – disponibil ca ransomware-as-a-service (RaaS)

 

Imagineaza-ti ca un atacator cripteaza fisierele unui CFO. Chiar daca acesta plateste rascumpararea, sa zicem $300 sau $500, posibilitatea de a obtine o suma mare de bani atacand cate un computer Apple din cand in cand este destul de mica.

Acum imagineaza-ti un grup de atacatori, sute de criminali cibernetici grupati intr-o franchiza, care targeteaza zilnic mii de device-uri si impart profitul.

Asa au aparut francizele de malware; din dorinta de a profita de tehnologie deja existenta si de a creste exponential castigurile jucatorilor din industrie. Chiar si atacatorii novice au ocazia sa profite de tehnologia celor mai experimentati si sa lanseze atacuri sofisticate si profitabile.

 

Ce trebuie sa faca utilizatorii de macOS pentru a se proteja?

 

Aplica patch-urile pe care Apple le emite in mod regulat si actualizeaza aplicatiile pe care le folosesti.

Backup de date. Serviciul Time Machine creeaza automat backup-uri iar daca dispozitivul tau va fi atacat de un ransomware poti sa faci o curatare completa si sa reinstalezi totul de la zero din backup.

Instaleaza un client de securitate endpoint. Exista la ora actuala un numar destul de mare de tool-uri care nu doar ca-ti protejeaza computerul dar pot avea si politici de securitate avansate pentru comunicarea in retea.

Instaleaza o solutie de securitate pentru email. Principala sursa de infectie ramane email-ul. Asadar este important ca in orice organizatie sa existe o solutie optima de securizare a serviciului de email.

 

 

Share This Post: