Security Notes

KeRanger, il ransomware che colpisce gli utenti MAC

virus

Sino ad ora gli utenti MAC potevano ritenersi al sicuro dalle numerose campagne basate su che stanno colpendo sistemi in tutto il mondo ma, come era lecito attendersi, la minaccia ha preso di mira anche loro. Gli esperti della Unit 42 dell’azienda PaloAlto Networks hanno scoperto nel weekend una campagna per la diffusione di una nuova famiglia di ransomware chiamata .

Nel mirino dei criminali informatici gli utenti MAC che hanno scaricato il popolare client BitTorren Transmission dal sito ufficiale. In realtà, in passato già un altro ransomware aveva colpito i sistemi MAC: FileCoder, minaccia scoperta da Kaspersky Lab in 2014.

Keranger

Secondo il rapporto pubblicato da PaloAlto Networks, gli utenti che hanno scaricato il pacchetto di installazione dal sito ufficiale il giorno 4 marzo, dalle 11 alle 19, potrebbero essere stati infettati dal KeRanger ransomware.

Transmission ha prontamente rimosso l’installer malevolo e sta invitando gli utenti ad aggiornare la nuova versione (la 2.92).

Gli esperti hanno scoperto che il ransomware è stato confezionato all’interno del file DMG del popolare BitTorrent client, e che per bypassare le misure di sicurezza del Gatekeeper di Apple hanno firmato digitalmente il codice malevolo utilizzando un certificato rilasciato a Polisan Boya Sanayi ve Ticaret A.Ş., una holding di Istanbul.

I ricercatori alla PaloAlto hanno notato che gli autori del nuovo ransomware hanno utilizzato la rete Tor per mascherare i Command & control server. Una volta infettata la macchina, il ransomware KeRanger aspetta tre giorni prima di contattare il server di comando ed avviare il processo di cifratura dei file.

 

Di seguito l’elenco dei servizi nella rete Tor usati dal ransomware:

  • lclebb6kvohlkcml.onion[.]link
  • lclebb6kvohlkcml.onion[.]nu
  • bmacyzmea723xyaz.onion[.]link
  • bmacyzmea723xyaz.onion[.]nu
  • nejdtkok7oz5kjoc.onion[.]link
  • nejdtkok7oz5kjoc.onion[.]nu

Una volta che il ransomware ha contattato il server inizia a cifrare tutti i documenti con più di 300 diverse estensioni:

  • Documents: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
  • Images: .jpg, .jpeg,
  • Audio and video: .mp3, .mp4, .avi, .mpg, .wav, .flac
  • Archives: .zip, .rar., .tar, .gzip
  • Source code: .cpp, .asp, .csh, .class, .java, .lua
  • Database: .db, .sql
  • Email: .eml
  • Certificate: .pem

È interessante notare che il ransomware non è in grado di avviare il processo di cifratura senza contattare i server di controllo. Una volta cifrati tutti i dati, il ransomware KeRanger richiede il pagamento di un riscatto di $400 dollari alle vittime.

I ricercatori sospettano che il ransomware KeRanger sia ancora in fase di sviluppo visto che il malware non cifra ancora i file di backup della Time Machine, anche se tale funzione è prevista nel codice e ancora disabilitata.

Per mitigare le infezioni, il certificato digitale utilizzato per firmare il codice sorgente del ransomware è già stato revocato. Apple ha aggiunto l’installer alla di lista nera utilizzata da Gatekeeper per bloccare l’esecuzione di codici malevoli.

L’evento sottolinea ancora una volta che potenzialmente ogni sistema è un obiettivo del crimine informatico che sempre più spesso utilizza la pratica estorsiva per monetizzare rapidamente i suoi sforzi.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This