Malware Forecast 2018

Con l’aiuto di ricercatori di sicurezza, durante il fine settimana Apple ha bloccato un attacco informatico progettato per infettare dispositivi Mac con un malware di file-encrypting, denominato “KeRanger”. Si ritiene che sia il primo attacco ransomware rivolto ad Apple: generalmente infatti i ransomware colpiscono computer Windows.

Le vittime di ransomware sono invitate a pagare una tassa, di solito in bitcoin, per ottenere l’accesso alla chiave di decrittazione per recuperare i propri file.

Come ha scritto domenica la società di sicurezza Palo Alto Networks, il ransomware “KeRanger” è stato individuato in Transmission, un client BitTorrent per Mac gratuito. Transmission ha avvisato sul suo sito web che gli utenti che avevano scaricato la versione 2.90 del client “dovevano passare immediatamente alla 2.92”.

Non è chiaro come gli aggressori siano riusciti a caricare sul sito web dell’applicazione una versione alterata di Transmission, ma compromettere applicazioni legittime è un metodo comunemente usato.

“E’ possibile che il sito ufficiale di Transmission sia stato compromesso e che i file siano stati sostituiti con versioni dannose ri-compilate, ma non possiamo confermare come si è verificata questa infezione”, ha scritto Palo Alto sul suo blog.

La versione alterata di Transmission è stata firmata con un certificato di un legittimo sviluppatore Apple. Se le impostazioni di protezione di un utente Mac consentono i download di applicazioni validate da Apple, l’utente non viene avvisato da GateKeeper sul fatto che l’applicazione può essere pericolosa.

Apple ha revocato il certificato dopo aver ricevuto la notifica venerdì, ha scritto Palo Alto, e ha aggiornato il suo motore antivirus XProtect.

Dopo essere stato installato in un sistema, KeRanger attende tre giorni prima di connettersi a un server di comando e controllo remoto utilizzando il sistema Tor. E’ codificato per cifrare più di 300 tipi di file. Il riscatto è 1 bitcoin, equivalenti a circa 404 dollari.

A prima vista gli attacchi erano indirizzati a singoli utenti, ma probabilmente gli aggressori volevano prendere di mira aziende e organizzazioni che possono pagare un riscatto molto più alto per evitare interruzioni nelle loro attività.

Anche se la quota del mercato desktop di Apple è molto più basso rispetto a Windows, i cybercriminali hanno mostrato un crescente interesse verso i Mac. Finora, i ransomware non sono stati un problema per i computer della Mela, anche se alcuni ricercatori hanno dimostrato che anche i Mac possono essere facilmente attaccati creando proof-of-concept di malware di file-encrypting.

Lo scorso novembre, per esempio, il ricercatore brasiliano Rafael Salema Marques ha pubblicato un video in cui mostra come sia riuscito a codificare un ransomware per Mac in un paio di giorni. Il codice sorgente non è stato rilasciato.

Pedro Vilaca, esperto di sicurezza di OS X, ha pubblicato su GitHub il codice di un ransomware per Mac che ha scritto egli stesso: un altro esperimento che mostra quanto sarebbe semplice attaccare la piattaforma di Apple.

I ransomware sono noti da più di un decennio, ma sono diventati particolarmente pericolosi nel corso degli ultimi anni. Ci sono poche difese contro di essi. I programmi antivirus e i software di sicurezza spesso non li riconoscono. Il metodo migliore per difendersi è fare regolari backup dei file e assicurarsi che il sistema di backup sia isolato, in modo che non venga colpito da eventuali attacchi.

 

WHITEPAPER GRATUITI