Home / Security / Primul ransomware de Mac, o adaptare a unei amenințări similare descoperite recent pe Linux

Primul ransomware de Mac, o adaptare a unei amenințări similare descoperite recent pe Linux

Amenințarea KeRanger, care criptează datele de pe terminale Mac, este o adaptare a celei mai recente versiuni ale amenințării de tip ransomware Linux.Encoder, care a atacat sistemul de operare Linux in repetate randuri, in cursul anului 2015, infectand mii de servere, relevă datele unei cercetări realizate de specialiștii Bitdefender.

În același timp, KeRanger este prima amenințare de tip ransomware complet funcțională pe sistemul de operare Mac OS X, prima care se distribuie prin intermediul unei actualizări software provenite de la un dezvoltator legitim și, totodată, primul ransomware care funcționează pe mai multe sisteme de operare.


„Utilizatorii de Mac OS X se pot proteja de amenințarea ransomware KeRanger numai prin folosirea unei soluții de securitate destinate acestui sistem de operare, capabile să depisteze comportamentele fișierelor și după momentul în care acestea se instalează pe terminale”, declară Cătălin Coșoi, Chief Security Strategist, Bitdefender.

Cum acționează Keranger

Cea mai importantă funcționalitate de securitate a sistemului de operare Mac OS X este Gatekeeper, sistem care restricționează sursele din care utilizatorii își instalează aplicații, pentru a reduce riscul descărcării de aplicații periculoase. Setările din fabrică îi permit utilizatorului să instaleze programe numai din magazinul de Mac App Store și de la alți dezvoltatori verificați de Apple.

Pentru a ocoli Gatekeeper, atacatorii au introdus amenințarea ransomware KeRanger într-o actualizare a programului de descărcat fișiere Transmission, un client BitTorrent similar uTorrent sau BitComet. Potrivit Apple, atacatorii au folosit un certificat legitim al unei companii din Turcia, capabil să treacă de filtrele de securitate Gatekeeper. Noul certificat digital cu care era semnată aplicația Transmission diferă de cel folosit la semnarea versiunilor precedente ale programului.

BitdefenderOdată ce fișierul infectat se execută, amenințarea se conectează la centrul de comandă și control prin TOR și furnizează un cod de criptare. După ce procesul de criptare se finalizează, KeRanger creează un fișier README_FOR_DECRYPT.txt care explică utilizatorului cum să efectueze plata și cum să decripteze apoi informațiile.

„Algoritmii de criptare sunt identici, iar funcțiile au aceleași denumiri cu cele folosite de amenințarea ransomware pe care am descoperit-o pe Linux anul trecut – Linux Encoder”, a mai declarat Cătălin Coșoi.

Ransomware atacă tot mai multe sisteme de operare

Dacă în urmă cu șase luni, ransomware era o amenințare doar pentru utilizatorii de Windows și Android, în decembrie atacurile s-au extins și către sistemul de operare Linux, reușind să cripteze datele de pe mii de servere web. În noiembrie 2015, Bitdefender a fost primul furnizor de soluții de securitate IT care a pus la dispoziția utilizatorilor un set de instrumente de decriptare pentru fișierele afectate de prima versiune a virusului ransomware ce rulează pe Linux, menite să readucă fișierele compromise la versiunea inițială. Acum dezvoltatorii din spatele Linux Encoder și-au extins vectorii de atac și către sistemul de operare Mac OX X sau au pus la dispoziția altor grupări de criminalitate cibernetică tehnologia dezvoltată inițial pentru atacarea Linux.

Expansiunea ransomware către terminalele Mac confirmă previziunile Bitdefender pentru 2016, publicate la finele anului trecut.

Check Also

Kaspersky Industrial CyberSecurity for Energy asigură o protecție mai bună pentru infrastructura critică

Kaspersky Lab a anunțat disponibilitatea Kaspersky Industrial CyberSecurity for Energy, un pachet complex pentru companiile …

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *