Wielu użytkowników systemu macOS zakłada, że ich komputery nie są narażone na ataki ransomware. Oczywiście mniej prawdopodobne jest, że sprzęt Apple zostanie zaatakowany lub zainfekowany niż dzieje się to w przypadku systemu Windows. Wynika to jednak głównie z faktu, że ponad 90% komputerów osobistych działa w systemie MS Windows, a tylko 6% w Apple macOS, przez co są one częstszym celem dla cyberprzestępców.

Portal MacRansom

Specjaliści z FortiGuard Labs firmy Fortinet odkryli właśnie kolejne oprogramowanie z kategorii Ransomware-as-a-service (RaaS), w którym wykorzystano portal działający obecnie w sieci TOR. W tym wypadku ciekawsze jest jednak to, że cyberprzestępcy atakują system operacyjny inny niż Windows. Może to być pierwszy raz, kiedy RaaS dotyczy macOS.

Portal MacRansom w sieci TOR

MacRansom nie jest łatwo dostępny z poziomu portalu. Aby zbudować ransomware należy skontaktować się z jego autorami, którzy przedstawiają się w następujący sposób:

„Jesteśmy inżynierami Yahoo i Facebooka. Podczas lat pracy jako badacze cyberzabezpieczeń odkryliśmy, że brakuje zaawansowanych malware’ów skierowanych do użytkowników macOS. Ponieważ w ostatnich latach produkty firmy Apple zyskują na popularności, to – według naszych badań – więcej osób niż kiedykolwiek wcześniej przenosi się na oprogramowanie macOS. Wierzymy, że ludzie potrzebują takich programów, dlatego udostępniliśmy te narzędzia bezpłatnie. W przeciwieństwie do większości hakerów w darknecie jesteśmy profesjonalistami z dużym doświadczeniem w rozwoju oprogramowania i rozległymi zainteresowaniami w prowadzeniu obserwacji. Możesz polegać na naszym oprogramowaniu, jak miliardy użytkowników na całym świecie polegają na naszych produktach w clearnecie.”

Autorzy MacRansom opisali także jego najważniejsze cechy:

  • Niewidoczność – obecność oprogramowania całkowicie niewidoczna dla przeciętnego użytkownika Mac do zaplanowanego czasu uruchomienia
  • Szyfrowanie nie do złamania – 128-bitowy algorytm szyfrowania nie pozostawia ofierze innej możliwości niż zakupienie klucza deszyfrującego
  • Dyskrecja – raz zainstalowane oprogramowanie nie pozostawi śladów, które mogą być związane z tobą. Może ono zostać skonfigurowane tak, aby uruchomiło się w dowolnym momencie w przyszłości lub gdy zostanie podłączony zewnętrzny nośnik danych.
  • Szybkość – wszystkie pliki ofiary zostaną zaszyfrowane w mniej niż minutę.

Wskazują również, dla kogo to oprogramowanie jest przeznaczone:

  • Dla osób, które chcą dyskretnie zemścić się na innym użytkowniku systemu Mac.
  • Dla osób, które chcą w łatwy sposób zarobić pieniądze od niespodziewających się niczego członków rodziny, przyjaciół, znajomych, kolegów ze szkoły.

Autorzy tłumaczą także:

„Jeśli nie masz odpowiednich umiejętności z zakresu inżynierii społecznej, tak aby nakłonić twój cel do pobrania i kliknięcia w plik wykonywalny, musisz mieć fizyczny dostęp do jego Maca. Możemy też sprawić za dodatkową opłatą, aby program można było przesłać funkcją AirDrop i pocztą elektroniczną.”

Oraz opisują, jak działa cały proces:

  • Wyślij do nas emaila z następującymi wiadomościami:
    • Ilość bitcoinów, które ofiara miałaby zapłacić – minimum o równowartości 500 USD
    • Najwcześniejszy czas, w którym chciałbyś uruchomić program
    • Czy chciałbyś, aby program został uruchomiony, kiedy podłączony zostanie zewnętrzny nośnik, jak np. dysk USB
    • Wygenerujemy program i wyślemy go do ciebie mailem, musisz pobrać go za pomocą przeglądarki TOR
    • Przenieś go na dysk USB
    • Uzyskaj dostęp do komputera Mac ofiary i uruchom program
    • Upewnij się, że zobaczysz komunikat „Done” przed zamknięciem okna
  • Wrócimy do ciebie jak tylko otrzymamy płatność na odpowiednie konto bitcoin.

Kliknięcie przycisku „Otwórz” powoduje zgodę na uruchamianie programu ransomware, które następnie wymaga zapłacenia 0,25 bitcoina (ok. 700 USD) okupu i kontaktu ofiary z [email protected] w celu odszyfrowania plików.

Powiadomienie ransomware.

Nie ma idealnych sposobów na zapobieganie atakom ransomware. Ich skutki można minimalizować, wykonując regularnie kopie zapasowe ważnych plików, dbając o utrzymywanie aktualności systemu i ostrożnie podchodząc do plików pochodzących z nieznanych źródeł. Każdy chętny do skorzystania z programów Ransomware-as-a-service musi pamiętać, że nie ma zapewnionej gwarancji anonimowości. Jolanta Malak, regionalny menedżer sprzedaży Fortinet na Polskę, Białoruś i Ukrainę wyjaśnia, że łatwy na pozór zarobek, jakim może się wydawać skorzystanie z modelu RaaS może skończyć się na szybkim wykryciu popełnionego przestępstwa i pobycie za kratkami.

AUTOR:

Adrian Ścibor

Podziel się