I ransomware sono una tipologia di malware, molto diffusa su Windows, utilizzata dai cybercriminali per chiedere un riscatto, dopo aver bloccato l’accesso ai file sfruttando la crittografia. Gli esperti di Palo Alto Networks hanno scoperto il primo ransomware per OS X, denominato KeRanger, all’interno dell’installer di Transmission, pubblicato sul sito ufficiale. Fortunatamente, sia Transmission Project che Apple hanno già messo in atto le opportune misure di sicurezza.
Palo Alto Networks spiega che KeRanger è il primo ransomware funzionante per Mac. FileCoder, scoperto dai Kaspersky Labs nel 2014, era infatti incompleto. Il target principale di questo tipo di malware è Windows. Uno dei ransomware più diffusi è CryptoWall che, nel 2015, ha causato un migliaio di vittime e perdite per oltre 18 milioni di dollari. Lo schema è sempre lo stesso: i file memorizzati sul computer vengono cifrati e per sbloccare l’accesso viene chiesto un riscatto, quasi sempre in Bitcoin. Nel caso di KeRanger, la somma da pagare per ottenere la chiave crittografica è 1 Bitcoin, circa 375 euro al cambio attuale.
Palo Alto Networks ha scoperto che i cybercriminali hanno infettato due installer di Transmission 2.90. Probabilmente il sito del Transmission Project è stato compromesso e i file DMG sono stati sostituiti dalle versioni contenenti KeRanger. Il malware è stato firmato con un certificato valido, quindi non viene rilevato dalla protezione Gatekeeper di Apple. Il ransomware attende tre giorni prima di effettuare una connessione ai server C&C (command-and-control) sulla rete Tor, quindi inizia a cifrare documenti, immagini, audio, video, email, database e archivi, utilizzando chiavi AES e RSA.
Gli utenti che hanno scaricato Transmission tra le 11:00 PST del 4 marzo e le 7:00 PST del 5 marzo hanno installato anche il malware KeRanger. Apple ha revocato il certificato fasullo e aggiornato l’antivirus XProtect. Transmission Project ha invece pubblicato la versione 2.92 del client BitTorrent.