Molti utenti con sistema operativo Mac potrebbero pensare che il proprio computer sia al riparo da minacce come gli attacchi ransomware e che il proprio sistema sia sostanzialmente “sicuro”. È vero che un utente Mac può essere colpito o infettato da malware meno frequentemente di un utente Windows, ma questo non ha niente a che vedere con il livello di vulnerabilità del sistema operativo. La causa principale è che oltre il 90% dei computer utilizza Windows Microsoft e solo il 6% Apple Mac.
Il portale di MacRansom
Recentemente, i ricercatori di FortiGuard Labs hanno scoperto un Ransomware-as-a-service
(RaaS) che utilizza un portale web ospitato in una rete TOR: probabilmente il primo RaaS per Mac individuato. Sul portale non è presente un ransomware "pronto all'uso": il "cliente" che desideri acquistare il ransomware deve contattare l'autore dello stesso, che lo "costruirà" secondo le richieste.
All'inizio, in realtà i ricercatori hanno pensato si trattasse di una truffa dal momento che non vi erano né esempi né "versioni di prova" e, per verificarlo, hanno inviato una mail all’autore: al contrario di ogni aspettativa, questi ha risposto.
Nella prima mail i ricercatori hanno posto all’autore domande chiave come l'ammontare del riscatto in Bitcoin, la data prevista per la diffusione del ransomware e la possibilità di trasmissione dell'infezione tramite chiavetta USB. Nella mail di risposta l’autore ha proposto di diffondere il ransomware a mezzanotte del primo di Giugno e ha richiesto gli estremi per il pagamento del riscatto: i ricercatori hanno risposto positivamente per poi ricevere una seconda mail con il ransomware personalizzato allegato.
Analisi di comportamento
I ricercatori hanno cominciato ad esaminare il malware. L’autore ha elencato, presentandolo, le seguenti caratteristiche del ransomware:
- Invisibility: completamente invisibile ai tipici utenti Mac fino all’avvio
- Deniability: una volta installato, non c’è nessuna traccia digitale che può essere associata con i cyber criminali. Può essere programmato per avviarsi in qualunque momento.
- Unbreakable Encryption: l'algoritmo di criptazione standard industriale 128-bit non lascia alla vittima altra opzione che quella di comprare il tool di decriptazione dello sviluppatore stesso.
- Speed: L’intera directory della vittima sarà criptata in meno di un minuto.
Al momento dell’aperture del file i ricercatori hanno potuto visualizzare un avviso che indicavo la provenienza sconosciuta del software: questo è un utile indizio. In generale è altamente sconsigliabile aprire file provenienti da sviluppatori sconosciuti.
Come infetta i Mac?
Per prima cosa il ransomware controlla se il programma viene avviato in un ambiente non Mac o se è stato eseguito il debug. Se queste condizioni non vengono riscontrate, il ransomware termina. Se le condizioni sono favorevoli, il ransomware crea un punto di accesso in ~/LaunchAgent/com.apple.finder.plist.
Questo punto di accesso permette a MacRansom di eseguirsi a ogni avvio del sistema operativo e assicura l’attacco all'orario previsto.
Il file originale eseguibile viene poi copiato in ~/Library/.FS_Store. Il nome dei file, in entrambi i casi, imita intenzionalmente uno dei file legittimi del sistema operativo Mac per rendersi meno sospettabile. Dopo che il file è stato copiato, ne viene cambiata la data usando il comando -ct 201606071012 '%s' (la manipolazione della data è usata di solito per confondere i ricercatori di sicurezza). Il ransomware usa poi launchctl per caricare il file com.apple.finder.plist creato.
Come cripta i file?
Come già detto, la criptazione ha un orario di avvio pre-impostato dall'autore. In questo caso, la data era il primo Giugno alle 12:00am. In questo orario, il ransomware comincia a enumerare i file bersaglio. Questo ransomware può criptare fino ad un massimo di 128 file: esegue la criptazione usando un algoritmo asimmetrico ad una chiave di codifica fissa.
Sono presenti due set di chiavi simmetriche usate dal ransomware:
• ReadmeKey: 0x3127DE5F0F9BA796
• TargetFileKey: 0x39A622DDB50B49E9
La prima è usata per decriptare il file _README_ che contiene la nota di riscatto e le istruzioni mentre la seconda è usata per criptare e decriptare i file della vittima.
La particolarità è che non ha alcuna funzione che gli permetta di comunicare con il server C&C, il che significa che non vi è alcuna copia pronta avviabile della chiave per decriptare i file. I ricercatori infatti sono ancora scettici sul fatto che l’autore possa decriptare i file sequestrati.
Dopo aver criptato con successo i file presi di mira, il ransomware cripta anche com.apple.finder.plist e il file eseguibile originale.
La richiesta di riscatto
Il ransomware chiede un riscatto di 0,25 bitcoin. La nota di riscatto è visibile nell'immagine sotto.
Conclusioni
Non tutti i giorni si vedono ransomware programmati per attaccare il sistema operativo Mac. Anche se questo ransomware è di gran lunga inferiore dalla maggior parte dei moderni ransomware che mirano ai sistemi operativi Windows, non fallisce nel criptare i file delle vittime o nel negare l’accesso a file importanti, causando danni reali!
La minaccia può essere però minimizzata eseguendo backup regolari dei file importanti e facendo attenzione quando si aprono file da fonti non identificate.
Nessun commento:
Posta un commento