Primo ransomware per Mac OSX: il malware che chiede il riscatto.

La pacchia è finita per gli utenti Mac, o almeno così sembra: Trascurati per anni dai cybercriminali che sfruttano i ransomware per far soldi, adesso devono fare i contri con KeRanger, il primo software di questo tipo pienamente funzionante rintracciato su Mac OS X. Ecco come funziona
GIANCARLO CALZETTA (Repubblica)

Si chiama KERANGER ed è il primo ransomware completo per Mac OS X che ha iniziato c colpire anche sul finora trascurato sistema di casa Apple. Il sistema di diffusione usato è, però, molto diverso da quelli che abbiamo visto finora su Windows. KeRanger ha iniziato a diffondersi come trojan nascosto all'interno dell'installer della versione 2.90 di Transmission BitTorrent Client, un programma che, come dice il nome stesso, funge da client BitTorrent disponibile come progetto Open Source. Il sito ufficiale di Transmission è stato compromesso per diffondere il ransomware. Sia Apple che i responsabili del progetto Transmission sono già stati allertati e quindi la casa della mela ha già provveduto a ritirare il certificato digitale che permetteva l'installazione del malware, mentre la versione 2.91 di Transmission è già stata resa disponibile per sostituire il file infetto. Non è chiaro come sia avvenuto il contagio, ma la cosa più probabile è che i cybercriminali abbiano preparato accuratamente l'operazione trovando un modo per bucare il sito ufficiale dell'applicazione e studiando come incorporare il codice del ransomware in tempi brevi nell'ìnstaller lecito.

Appena la versione 2.90 è stata rilasciata, in data 4 marzo, i criminali hanno ricompilato il tutto includendo il loro malware e sostituendo l'installer originale con quello modificato. Questo ha creato la prima vera infezione di Ransomware su Mac OS X, anche se i ricercatori di Paloalto Networks hanno rilevato la minaccia in tempi molto brevi e hanno provveduto ad avvisare chi di dovere. Il ransomware, dopo esser stato installato, attende qualche giorno (sembra che siano tre, nei sample esaminati) prima di iniziare le operazioni e questo potrebbe aver rallentato la sua scoperta, ma soprattutto potrebbe aver lasciato dei computer ancora infetti che riveleranno il problema solo nelle prossime ore. Se si cerca di installare adesso la versione infetta di Transmission, il Mac rifiuterà di farlo perché il certificato digitale è stato ritirato da Apple. L'operato di KeRanger è molto simile a quello dei suoi colleghi per le altre piattaforme: una volta installato, va a caccia di file da criptare e dopo un po' visualizza un avviso con le istruzioni su come pagare per ottenere la chiave di decodifica.

In particolare, KeRanger è programmato per criptare file con oltre 300 estensioni diverse presenti nelle directory "/Users" e "/Volumes". Per farvi un'idea del tipo di file che viene codificato, riportiamo di seguito una lista parziale delle estensioni prese di mira:

Documenti: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
Immagini: .jpg, .jpeg,
Audio e video: .mp3, .mp4, .avi, .mpg, .wav, .flac
Archivi: .zip, .rar., .tar, .gzip
Codici sorgenti: .cpp, .asp, .csh, .class, .java, .lua
Database: .db, .sql
Email: .eml
Certificati: .pem

Come abbiamo già detto, l'installer di Transmission 2.90 non può più essere installato sui Mac in quanto il suo certificato è stato ritirato, ma è il caso che tutti i possessori diano un'occhiata al proprio disco fisso per controllare se siano stati infettati.Il fatto che il ransomware sia stato rilevato allegato al client di BitTorrent non vuol dire che non ci siano state altre manomissioni simili che sono al momento passate inosservate.

Che cosa fare. Per verificare se il nostro sistema è pulito, andiamo a controllare tramite Terminal o Finder se esistono i due file /Applications/Transmission.app/Contents/Resources/ General.rtf oppure /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf e più in generale se appare un file "General.rtf" sospetto in qualche altro percorso. Inoltre, nella gestione attività di Mac OS X, controlliamo se è in esecuzione un processo chiamato "kernel_service". Con la funzione di controllo dei processi si può identificare il ransomware quando è al lavoro (o in attesa di partire). Infine, verifichiamo se sul disco fisso, nella cartella "~/Library" abbiamo uno dei seguenti file: ". kernel_pid", ". kernel_time", ". kernel_complete" or "kernel_service". Se uno dei passi precedent dovesse aver dato esito positive, allora abbiamo un problema e l'unico sistema ragionevolmente sicuro per sbarazzarsi dell'infezione è quello di ripristinare un backup precendete l'infezione. (Se esiste un backup)

Pubblicato il 08/03/2016
SC Consulting - Via Pomposa, 127 - Ferrara - P.IVA 01163440389 - Cookies - Privacy