RaaS vs macOS. Cybeprzestępcy na wojnie z Apple

Przeczytaj także: Ransomware, czy 167 razy więcej zagrożeń

Portal MacRansom

Oprogramowanie ransomware zostało obwołane epidemią 2016 roku i wiele wskazuje na to, że ta łatka nie odklei się od niego zbyt szybko. Na sile przybiera również Ransomware-as-a-Service (RaaS), czyli model który właściwie każdemu pozwala się stać cyberprzestępcą. Specjaliści z FortiGuard Labs firmy Fortinet dokonali właśnie odkrycia kolejnego programu z kategorii RaaS, w przypadku którego wykorzystano portal działający obecnie w sieci TOR. Najciekawsze jest tu jednak to, że działania cyberprzestępców nie są wycelowane w Windows. Może to być pierwszy raz, kiedy ofiarą RaaS ma stać się macOS.

Dostępność MacRansom z poziomu portalu nie jest oczywista. Aby zbudować ransomware należy skontaktować się z jego autorami, którzy wystawiają sobie następującą wizytówkę:

„Jesteśmy inżynierami Yahoo i Facebooka. Podczas lat pracy jako badacze cyberzabezpieczeń odkryliśmy, że brakuje zaawansowanych malware’ów skierowanych do użytkowników macOS. Ponieważ w ostatnich latach produkty firmy Apple zyskują na popularności, to – według naszych badań – więcej osób niż kiedykolwiek wcześniej przenosi się na oprogramowanie macOS. Wierzymy, że ludzie potrzebują takich programów, dlatego udostępniliśmy te narzędzia bezpłatnie. W przeciwieństwie do większości hakerów w darknecie jesteśmy profesjonalistami z dużym doświadczeniem w rozwoju oprogramowania i rozległymi zainteresowaniami w prowadzeniu obserwacji. Możesz polegać na naszym oprogramowaniu, jak miliardy użytkowników na całym świecie polegają na naszych produktach w clearnecie.”

Autorzy MacRansom opisali także jego najważniejsze cechy:

1. Niewidoczność – obecność oprogramowania całkowicie niewidoczna dla przeciętnego użytkownika Mac do zaplanowanego czasu uruchomienia
2. Szyfrowanie nie do złamania – 128-bitowy algorytm szyfrowania nie pozostawia ofierze innej możliwości niż zakupienie klucza deszyfrującego
3. Dyskrecja – raz zainstalowane oprogramowanie nie pozostawi śladów, które mogą być związane z tobą. Może ono zostać skonfigurowane tak, aby uruchomiło się w dowolnym momencie w przyszłości lub gdy zostanie podłączony zewnętrzny nośnik danych.
4. Szybkość – wszystkie pliki ofiary zostaną zaszyfrowane w mniej niż minutę

Wskazują również, dla kogo to oprogramowanie jest przeznaczone:

• Dla osób, które chcą dyskretnie zemścić się na innym użytkowniku systemu Mac
• Dla osób, które chcą w łatwy sposób zarobić pieniądze od niespodziewających się niczego członków rodziny, przyjaciół, znajomych, kolegów ze szkoły

Autorzy ransomware tłumaczą także: „Jeśli nie masz odpowiednich umiejętności z zakresu inżynierii społecznej, tak aby nakłonić twój cel do pobrania i kliknięcia w plik wykonywalny, musisz mieć fizyczny dostęp do jego Maca. Możemy też sprawić za dodatkową opłatą, aby program można było przesłać funkcją AirDrop i pocztą elektroniczną.”

Oraz opisują, jak działa cały proces:

1. Wyślij do nas emaila z następującymi wiadomościami:
   • Ilość bitcoinów, które ofiara miałaby zapłacić – minimum o równowartości 500 USD
   • Najwcześniejszy czas, w którym chciałbyś uruchomić program
   • Czy chciałbyś, aby program został uruchomiony, kiedy podłączony zostanie zewnętrzny nośnik, jak np. dysk USB
2. Wygenerujemy program i wyślemy go do ciebie mailem, musisz pobrać go za pomocą przeglądarki TOR
3. Przenieś go na dysk USB
4. Uzyskaj dostęp do komputera Mac ofiary i uruchom program
5. Upewnij się, że zobaczysz komunikat „Done” przed zamknięciem okna
6. Wrócimy do ciebie jak tylko otrzymamy płatność na odpowiednie konto bitcoin

Kliknięcie przycisku „Otwórz” powoduje zgodę na uruchamianie programu ransomware, które następnie wymaga zapłacenia 0,25 bitcoina (ok. 700 USD) okupu i kontaktu ofiary z getwindows@protonmail.com w celu odszyfrowania plików.

Podsumowanie

Nowe ransomware przeznaczone na system macOS należą do rzadkości. Nawet jeśli są znacznie mniej zaawansowane od nowoczesnych ransomware skierowanych na Windows, to i tak pozwalają na zaszyfrowanie plików ofiary, uniemożliwiając do nich dostęp i powodując znaczne szkody.

Nie ma idealnych sposobów na zapobieganie atakom ransomware. Ich skutki można minimalizować, wykonując regularnie kopie zapasowe ważnych plików, dbając o utrzymywanie aktualności systemu i ostrożnie podchodząc do plików pochodzących z nieznanych źródeł.

Każdy chętny do skorzystania z programów Ransomware-as-a-service musi pamiętać, że nie ma zapewnionej gwarancji anonimowości. – Użytkownicy mają coraz większą świadomość problemu, a dostawcy zabezpieczeń wciąż ulepszają metody wykrycia złośliwego oprogramowania – mówi Jolanta Malak, regionalny menedżer sprzedaży Fortinet na Polskę, Białoruś i Ukrainę. – Łatwy na pozór zarobek, jakim może się wydawać skorzystanie z modelu RaaS może skończyć się na szybkim wykryciu popełnionego przestępstwa i pobycie za kratkami.