KeRanger il primo ransoware che punta gli utenti Mac Os. Se gli utenti Mac, pensavano d’essere immuni alle minacce del web, purtroppo dovranno ricredersi.
Come già spiegato in un mio precedente articolo gli utenti Mac non hanno motivo di stare tranquilli in quanto sebbene il sistema operativo mela sia più difficilmente attaccabile è altrettanto vero che ormai sempre più persone lo utilizzano ed ovviamente questo non sfugge agli occhi dei predoni del web.
E’ infatti arrivato il primo ransomware perfettamente funzionante, che mira ad attaccare il sistema operativo OSx.
Il Ransomware, una delle minacce informatiche che sta “vivendo” un’incredibile ascesa in questi ultimi anni, crittografa documenti e files delle macchine che vengono infettate e successivamente richiede il pagamento di un “riscatto” in valute digitali (generalmente Bitcoin). Questo permetterà di ricevere (non sempre) una chiave di decriptazione grazie alla quale i proprietari potranno riaccedere ai loro pc e di conseguenza ai dati in essi contenuti.
Fino ad ora i target privilegiati dei ransomware erano smartphone e computer Windows facendo dormire sonni tranquilli agli utenti OSx.
Purtroppo per gli amanti della mela i ricercatori di sicurezza di Palo Alto Networks dichiarano d’aver scoperto il primo caso di ransomware per Mac Os, chiamato “KeRanger” che attacca computers Macintosh, come sostenuto dal direttore Ryan Olson della Threat Intelligence sul sito Reuters.
Il ransomware KeRanger, che è apparso venerdì e viene fornito in bundle nella popolare App per Mac Transmission, un client BitTorrent libero e open-source che conta milioni di utenti attivi.
Una volta che la vittima installa una versione infetta dell’app, il malware KeRanger s’inserisce nel computer della vittima che dopo tre giorni si vedrà crittografato tutto ciò che è contenuto sul disco rigido (documenti importanti, immagini e file video, archivi di posta elettronica e database).
Il malware KeRanger poi chiede alla vittima di pagare 1 Bitcoin (che equivale a $ 410 ) come l’importo del riscatto per consentire al malcapitato di decifrare il disco rigido e riguadagnare l’accesso ai propri files.
Il malware impone una finestra di blocco dopo 72 ore a meno che non venga effettuato il pagamento.
Anche se ancora non è chiaro come gli hacker siano riusciti a compromettere l’applicazione e a caricare i file infetti, si ritiene che essi abbiano violato il sito del distributore sfruttando la falla dovuta al protocollo http (HyperText Transfer Protocol) che è risaputo essere molto meno sicuro del HTTPS (HyperText Transfer Protocol over Secure Socket Layer).
Indice
Come proteggersi contro KeRanger
I ricercatori di sicurezza hanno suggerito agli utenti di verificare l’esistenza dei seguenti file nelle loro macchine:
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
Se presente uno dei file elencati qui sopra, allora la vostra app Transmission è stata probabilmente infettata dal nuovo ransomware.
Il codice maligno ha anche un nome di processo es: “.kernel_service”, “.kernel_pid”, “.kernel_time” o “.kernel_complete”, che può essere blocaato e che memorizza il suo eseguibile nella directory ~/Library.
Eliminate questi files se li vedete
L’aggiornamento alla versione 2.91 di Transmission
Poco dopo, gli sviluppatori di Transmission hanno rilasciato una versione aggiornata 2.92 per garantire che i files del malware ‘KeRanger‘ vengano realmente rimossi in maniera efficace. Quindi, nel caso in cui si sia scaricato una copia di Transmission dal web prima del fine settimana è probabile che essa sia vulnerabile se non addirittura infetta ed è necessario disinstallarla subito o fare l’aggiornamento alla versione “pulita” del software (2.92).
“Tutte le versioni 2.90 in esecuzione su OSx dovrebbero essere aggiornate immediatamente alla 2.91 oppure cancellate dalla macchina, in quanto potrebbero contenere al loro interno files infetti da malware“, è il messaggio che Trasmission ha pubblicato in rosso sul suo sito web.
In particolare, il download di Trasmission versione 2.90 che è stato infettato con il codice ransomware che crittografa i files dopo 3 giorni e che richiedere un pagamento di $ 410 in Bitcoin per poter riprendere il controllo. Tuttavia, vale la pena sottolineare che KeRanger è attualmente stato rilevato solo sull’applicazione Trasmission per Mac, ma anche che se il malware dovesse diffondersi in maniera capillare, potrebbe influenzare anche altre applicazioni comuni per Mac.
Forse è il caso che i Mac users inizino ad usare cautela come se non di più di quelli windows.
Altri articoli e guide che ti potrebbero interessare:
