Amenintarea KeRanger, care cripteaza datele de pe terminale Mac, este o adaptare a celei mai recente versiuni ale amenintarii de tip ransomware Linux.Encoder, care a atacat sistemul de operare Linux in repetate randuri, in cursul anului 2015, infectand mii de servere, releva datele unei cercetari realizate de specialistii Bitdefender.

In acelasi timp, KeRanger este prima amenintare de tip ransomware complet functionala pe sistemul de operare Mac OS X, prima care se distribuie prin intermediul unei actualizari software provenite de la un dezvoltator legitim si, totodata, primul ransomware care functioneaza pe mai multe sisteme de operare.

„Utilizatorii de Mac OS X se pot proteja de amenintarea ransomware KeRanger numai prin folosirea unei solutii de securitate destinate acestui sistem de operare, capabile sa depisteze comportamentele fisierelor si dupa momentul in care acestea se instaleaza pe terminale”, declara  Catalin Cosoi, Chief Security Strategist, Bitdefender. 


Cum actioneaza KeRanger

Cea mai importanta functionalitate de securitate a sistemului de operare Mac OS X este Gatekeeper, sistem care restrictioneaza sursele din care utilizatorii isi instaleaza aplicatii, pentru a reduce riscul descarcarii de aplicatii periculoase. Setarile din fabrica ii permit utilizatorului sa instaleze programe numai din magazinul Mac App Store si de la alti dezvoltatori verificati de Apple.

Pentru a ocoli Gatekeeper, atacatorii au introdus amenintarea ransomware KeRanger intr-o actualizare a programului de descarcat fisiere Transmission, un client BitTorrent similar uTorrent sau BitComet. Potrivit Apple, atacatorii au folosit un certificat legitim al unei companii din Turcia, capabil sa treaca de filtrele de securitate Gatekeeper. Noul certificat digital cu care era semnata aplicatia Transmission difera de cel folosit la semnarea versiunilor precedente ale programului.

Odata ce fisierul infectat se executa, amenintarea se conecteaza la centrul de comanda si control prin TOR si furnizeaza un cod de criptare. Dupa ce procesul de criptare se finalizeaza, KeRanger creeaza un fisier README_FOR_DECRYPT.txt care explica utilizatorului cum sa efectueze plata si cum sa decripteze apoi informatiile.

„Algoritmii de criptare sunt identici, iar functiile au aceleasi denumiri cu cele folosite de amenintarea ransomware pe care am descoperit-o pe Linux anul trecut – Linux Encoder”, a mai declarat Catalin Cosoi. 


Ransomware ataca tot mai multe sisteme de operare

Daca in urma cu sase luni, ransomware era o amenintare doar pentru utilizatorii de Windows si Android, in decembrie atacurile s-au extins si catre sistemul de operare Linux, reusind sa cripteze datele de pe mii de servere web. In noiembrie 2015, Bitdefender a fost primul furnizor de solutii de securitate IT care a pus la dispozitia utilizatorilor un set de instrumente de decriptare pentru fisierele afectate de prima versiune a virusului ransomware ce ruleaza pe Linux, menite sa readuca fisierele compromise la versiunea initiala. Acum dezvoltatorii din spatele Linux Encoder si-au extins vectorii de atac si catre sistemul de operare Mac OS X sau au pus la dispozitia altor grupari de criminalitate cibernetica tehnologia dezvoltata initial pentru atacarea Linux.