Sino ad ora gli utenti MAC potevano ritenersi al sicuro dalle numerose campagne basate su ransomware che stanno colpendo sistemi in tutto il mondo ma, come era lecito attendersi, la minaccia ha preso di mira anche loro. Gli esperti della Unit 42 dell’azienda PaloAlto Networks hanno scoperto nel weekend una campagna per la diffusione di una nuova famiglia di ransomware chiamata KeRanger.
Nel mirino dei criminali informatici gli utenti MAC che hanno scaricato il popolare client BitTorren Transmission dal sito ufficiale. In realtà, in passato già un altro ransomware aveva colpito i sistemi MAC: FileCoder, minaccia scoperta da Kaspersky Lab in 2014.
Secondo il rapporto pubblicato da PaloAlto Networks, gli utenti che hanno scaricato il pacchetto di installazione dal sito ufficiale il giorno 4 marzo, dalle 11 alle 19, potrebbero essere stati infettati dal KeRanger ransomware.
Transmission ha prontamente rimosso l’installer malevolo e sta invitando gli utenti ad aggiornare la nuova versione (la 2.92).
Gli esperti hanno scoperto che il ransomware è stato confezionato all’interno del file DMG del popolare BitTorrent client, e che per bypassare le misure di sicurezza del Gatekeeper di Apple hanno firmato digitalmente il codice malevolo utilizzando un certificato rilasciato a Polisan Boya Sanayi ve Ticaret A.Ş., una holding di Istanbul.
I ricercatori alla PaloAlto hanno notato che gli autori del nuovo ransomware hanno utilizzato la rete Tor per mascherare i Command & control server. Una volta infettata la macchina, il ransomware KeRanger aspetta tre giorni prima di contattare il server di comando ed avviare il processo di cifratura dei file.
Di seguito l’elenco dei servizi nella rete Tor usati dal ransomware:
- lclebb6kvohlkcml.onion[.]link
- lclebb6kvohlkcml.onion[.]nu
- bmacyzmea723xyaz.onion[.]link
- bmacyzmea723xyaz.onion[.]nu
- nejdtkok7oz5kjoc.onion[.]link
- nejdtkok7oz5kjoc.onion[.]nu
Una volta che il ransomware ha contattato il server inizia a cifrare tutti i documenti con più di 300 diverse estensioni:
- Documents: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
- Images: .jpg, .jpeg,
- Audio and video: .mp3, .mp4, .avi, .mpg, .wav, .flac
- Archives: .zip, .rar., .tar, .gzip
- Source code: .cpp, .asp, .csh, .class, .java, .lua
- Database: .db, .sql
- Email: .eml
- Certificate: .pem
È interessante notare che il ransomware non è in grado di avviare il processo di cifratura senza contattare i server di controllo. Una volta cifrati tutti i dati, il ransomware KeRanger richiede il pagamento di un riscatto di $400 dollari alle vittime.
I ricercatori sospettano che il ransomware KeRanger sia ancora in fase di sviluppo visto che il malware non cifra ancora i file di backup della Time Machine, anche se tale funzione è prevista nel codice e ancora disabilitata.
Per mitigare le infezioni, il certificato digitale utilizzato per firmare il codice sorgente del ransomware è già stato revocato. Apple ha aggiunto l’installer alla di lista nera utilizzata da Gatekeeper per bloccare l’esecuzione di codici malevoli.
L’evento sottolinea ancora una volta che potenzialmente ogni sistema è un obiettivo del crimine informatico che sempre più spesso utilizza la pratica estorsiva per monetizzare rapidamente i suoi sforzi.
Facebook Comments