il primo ransomware rintracciato su Mac OS X, si chiama KeRanger; il 4 marzo è riuscito ad entrare nel sistema di Apple, ma per fortuna l'intervento tempestivo ha limitato i danni a 6500 computer infetti.
Si chiama KeRanger ed è il primo ransomware completo per Mac OS X che sta mietendo numerose vittime anche un sistema che finora era stato più che sicuro. Il malware si difonde in un modo particolare rispetto a quelli delle altre piattaforme; infatti ha cominciato ad introsursi come trojan nascosto all’interno di un programma disponibile come progetto open source e che ha la funzione di un client BitTorrent, l’installer della versione 2.90 di Transmission BitTorrent Client, appunto.
Apple ha già provveduto a ritirare il certificato digitale che ha consentito l’installazione del malware ed mentre i responsabili del programma hanno messo a punto e reso disponibile la versione 2.91 di Transmission per sostituire il file infetto. Per fortuna anche i ricercatori di PaloAlto Networks sono riusciti a scovare il virus velocemente provvedendo ad avvisare i produttori e gli sviluppatori.
Dopo che la versione 2.90 è stata rilasciata, il 4 marzo, gli hackers hanno trovato quasi subito un modo per bucare il sito ufficiale dell’applicazione e ed incorporare il codice del ransomware nell’ìnstaller lecito ricompilando il codice ed includendo il loro malware; inoltre hanno sostituito l’installer originale con quello modificato.
La rivista americana Forbes è riuscita a parlare con un responsabile del progetto Trasmission, John Clay e dalle sue spiegazioni è venuto fuori che da venerdì 4 marzo, giorno in cui il server di Trasmission è stato infettato, fino a domenica 6 marzo, quando Apple e Trasmission hanno isolato ed eliminato KeRanger, gli utenti che ha scaricato la versione compromessa 2,90 del software sono stati circa 6.500.
Queste cifre messe a confronto con i numeri del ransomware Cryptolocker (ha colpito più di 230.000 utenti Windows) giustificano la lieve entità del danno provocato da KeRanger. Nel settore dei personal computer la diffusione di Windows è del 91,39%, contro i sistemi Mac OS X che hanno toccato quota 6,99% alla fine dell’anno scorso.
Clay ha dichiarato quanto segue: “La nostra ipotesi è che ci siano state circa 6.500 infezioni. Di queste presumiamo che molte non siano arrivate allo stadio finale, cioè al blocco del sistema operativo e alla richiesta di riscatto equivalente a 1 bitcoin, quindi a 374.65 euro, grazie all’intervento di Apple che ha rapidamente bloccato il certificato ed ha aggiornato XProtect, un anti-malware della casa di Cupertino. Tuttavia siamo in attesa che Apple ci confermi questo”.
Siccome dal momento della sua installazione prima di iniziare le operazioni il ransomware attende tre giorni, questo potrebbe aver sia rallentato la sua scoperta, che soprattutto aver lasciato alcuni computer che riveleranno il problema solo nelle prossime ore, poiché ancora infetti.
KeRanger è stato creato per criptare file con più di 300 estensioni diverse presenti nelle directory “/Users” e “/Volumes” e si comporta in modo simile a quello delle altre piattaforme; infatti quando viene installato va alla ricerca di file da criptare e poi notifica un avviso con le istruzioni su quanto e come pagare per poter ottenere il codice di decodifica.
Per verificare se il proprio sistema è a posto occorre controllare con Terminal o Finder se esistono i due file/Applications/Transmission.app/Contents/Resources/ General.rtf oppure /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf e se è presente un file “General.rtf” sospetto e bidogna controllare nella gestione attività di Mac OS X se è in esecuzione un processo chiamato “kernel_service”. Infine bisogna verificare se nella cartella “~/Library” presente sul disco fisso, è presente uno dei seguenti file: “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service”. Se l’esito è positivo, l’unico sistema sicuro per liberarsi del malware è ripristinare un backup che sia precendete l’infezione.