20

Jest ciekawie – oto pierwszy ransomware na… OS X!

Ransomware - czyli złośliwe programy celowo szyfrujące dane na dyskach i żądające zapłaty za odblokowanie tychże kojarzą nam się głównie z Windows - jednak można powiedzieć, że cyberprzestępcy zaczynają dostrzegać, iż na rynku istnieją poważne alternatywy dla tego systemu operacyjnego. Tego typu zagrożenie pojawiło się niedawno również dla komputerów z zainstalowanym OS X - mamy do czynienia z pierwszym w pełni funkcjonalnym programem tego typu.

KeRanger to pierwsze zagrożenie tego typu ukierunkowane na system OS X od Apple. Co prawda wcześniej mieliśmy do czynienia z podobnymi szkodliwymi programami, lecz te nie działały do końca tak, jak sobie by tego życzył autor i tym samym skala zagrożenia była odpowiednio mniejsza. W wypadku KeRanger ktoś mocno się postarał o to, by program funkcjonował odpowiednio – to wskazuje na dwie rzeczy. OS X uchodzący dotąd za jedną z bezpieczniejszych platform nie jest absolutnie wolny od cyberzagrożeń, a ponadto – ciekawie wygląda również kwestia tego, jak dystrybuowano złośliwy program. Okazuje się, że wrotami zakażeń był program Transmission, co ciekawe pochodzący z oficjalnego i jakby się mogło wydawać, zaufanego źródła.

KeRanger został podpisany prawidłowym certyfikatem aplikacji dla Maców i dzięki temu udało mu się pokonać Gatekeepera. Zainstalowany złośliwy program odczekuje 3 dni, po czym łączy się z serwerami wskazanymi przez autora poprzez TOR-a i odbiera kolejne zdalne instrukcje. Po tym rozpoczyna się proces szyfrowania danych na dysku – użytkownik w komunikacie jest nakłaniany do zapłacenia jednego Bitcoina (obecnie około 400 dolarów) w zamian za odszyfrowanie danych. Co więcej, okazuje się, że KeRanger dalej jest rozwijany przez twórców – wiadomo, że program próbuje również zaszyfrować dane z Time Machine tak, aby użytkownik nie mógł posiłkować się wykonanym wcześniej backupem.

Proces dystrybuowania KeRangera rozpoczął się od oficjalnej strony internetowej, na której dostępny jest program do obsługi sieci Torrent – Transmission. W sobotę niektórzy użytkownicy zaczęli alarmować, że zostali zainfekowani ransomware’em i powiązali to z instalacją Transmission. Okazało się potem, że ścieżka do instalatora programu została zmanipulowana – ustalono, że podczas wywołania próby pobrania Transmission, komputery łączą się nie drogą bezpiecznego połączenia, lecz zwykłego HTTP. Twórcy programu w swoim oświadczeniu polecili, by każdy kto korzysta z wersji 2.90 albo jak najszybciej zaktualizowali ją do 2.91, lub całkowicie usunęli aplikację ze swojego komputera.

KeRanger wskazuje – nikt nie jest absolutnie bezpieczny

Specjaliści wypowiedzieli się, iż pojawienie się KeRanger’a to wstęp dla kolejnych tego typu zagrożeń. Niewykluczone, że podobne programy na Maca, czy nawet na Linuksa pojawią się już niedługo – informowaliśmy Was zresztą o tym, że dla tych dwóch systemów operacyjnych coraz częściej pojawiają się cyberzagrożenia. Oznacza to, że nawet korzystając z jakby się wydawało – bardzo bezpiecznego systemu, w dalszym ciągu trzeba zachowywać ostrożność. Jej brak może się skończyć po prostu źle.

Grafika: 1