Tag Archive for ransomware

MacRansom: quando il Ransomware si può comprare!

I ricatti con l’hard disk criptato si diffondono sui Mac

Gli esperti di sicurezza della FortiGuard Lab hanno scoperto un portale che vende a potenziali ricattatori un malware per criptare i Mac e chiedere un riscatto agli utenti, sulla scia del noto Wannacry.

Molti utenti di Mac OS potrebbero supporre che il loro computer sia esente da problemi come gli attacchi di ransomware (i malware che bloccano i computer e chiedono centinaia du euro per sbloccarli) e pensare che il loro sistema sia in qualche modo essenzialmente “sicuro”. È vero che è meno probabile che un utente Mac OS sia attacato o infettato da un malware di un utente Windows, ma questo non ha nulla a che fare con il livello di vulnerabilità del sistema operativo.
Questa falsa sensazione di sicurezza è in gran parte causata dal fatto che oltre il 90% dei personal computer gira con Microsoft Windows e solo circa il 6% su Apple Mac OS.

Antivirus Mac comparativa

Di recente i FortiGuard Labs hanno scoperto un Ransomware-as-a-service (RaaS) che utilizza un portale web ospitato in una rete TOR che oggi è diventata una tendenza. Tuttavia, in questo caso era piuttosto interessante vedere che i cybercriminali attaccano un sistema operativo diverso da Windows. E questa potrebbe essere la prima volta per vedere un RaaS che punta a Mac OS.
Questa variante di MacRansom non è disponibile direttamente tramite il portale, ma è necessario contattare direttamente l’autore per farsi costruire e spedire il ransomware, di cui viene chiesto un pagamento in Bitcoin.

Ricatti per tutti

Nella pagina delle domande frequenti (FAQ) di MacRansom, l’hacker creatore dichiara che il ransomware è rivolto a “persone che vogliono reprimere in modo fraudolento un altro utente di Mac” e “persone che vogliono guadagnare soldi facili da parte utenti Mac ignari come, conoscenti, colleghi e compagni di classe o di lavoro”.
Questo significa in pratica comprare un malware che non si sarebbe in grado di creare, e utilizzarlo per tentare di ricattare possibili vittime senza essere per forza un hacker esperto; chi costrisce il virus e chi lo diffonde potrebbero poi spartirsi gli eventuali guadagni illeciti.
Il consiglio è ovviamente quello di non cedere ai ricatti e seguire la nostra guida per la protezione del Mac dai Ransomware.

Conclusioni

MacRansom è un altro esempio della minaccia crescente portata dai ransomware, indipendentemente dalla piattaforma in esecuzione. Non ci sono soluzioni perfette contro il ransomware, tuttavia, l’impatto può essere ridotto al minimo eseguendo regolarmente i backup di file importanti e facendo attenzione quando si aprono file da fonti o sviluppatori non identificati.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Come difendersi dai Ransomware su Mac

Ha fatto scalpore l’enorme diffusione e la pericolosità di WannaCry, il virus che ha contagiato oltre 200mila computer in più di 150 paesi, bloccando i dati e chiedendo riscatti.
Possiamo tranquillizzare gli utenti Mac, il virus ha attaccato solo i sistemi Windows, e la Microsoft è già corsa ai ripari con delle patch, tra i più colpiti il vecchio Windows XP, non più aggiornato da anni ma ancora molto usato anche dalle aziende sia pubbliche che private, molte delle quali come banche e ospedali sono state messe in ginocchio e costrette a sospendere l’attività.
Se WannaCry non ha colpito i Mac, purtoppo diversi altri virus hanno attaccatto OS X, ecco una guida su come difendersi!

Alcuni esempi di attacchi ransowmware ai Mac:
Il patcher fasullo
KeRanger
FBI

Antivirus Mac comparativa

Cosa sono e come agiscono i ransomware su Mac

Il ransomware è un tipo di attacco malware in cui i file presenti sui vostri hard disk vengono crittografati (resi cioè illeggibili senza avere una chiave di decriptazione) viene poi presentata una richiesta di riscatto, spesso di qualche centinaio di euro, se si desidera ripristinare nuovamente i file, e spesso nella nuova moneta viruale i Bitcoin, che sono di fatto non rintracciabili.
Anche se al momento non ci sono ancora stati episodi ransomware sul Mac così gravi come WannaCry, i ricercatori di sicurezza ritengono che questa sia una possibilità. Ad esempio, i ricercatori di sicurezza hanno trovato linee di codice specifiche per Mac nel ransomware di Windows, il che indica che gli hakcer stanno almeno considerando la possibilità.

Aleksandr Yampolskiy, presidente di SecurityScorecard, ha insistito sul fatto che gli utenti di Apple sono vulnerabili agli attacchi del tipo WannaCry, anche se quel particolare evento riguarda solo i sistemi Windows.

Il mio Mac è stato attaccato, come devo comportarmi?

Se siamo stati infettati da ransomware perchè non avevamo un antivirus attivo sul Mac, non andiamo nel panico, utilizzare uno scanner antivirus come Bitdefender o MacKeeper per cercare il ransomware e rimuoverlo.
È improbabile che sarai l’unica persona interessata dal ransomware quindi tieni d’occhio i siti di sicurezza come questo, (qui trovi un elenco dei virus principali presenti su Mac) dove troverai istruzioni specifiche su come pulire l’infezione.

Armati di pazienda e forse i ricercatori di sicurezza troveranno un modo per decriptare i tuoi file gratuitamente, in ogni caso non pagare, non solo per non dare soldi agli hacker ma perchè, c’è una buona probabilità di pagare e non recuperare i tuoi file!

Scollegare gli hard disk esterni di backup

L’unico esempio di ransomware efficace visto su un Mac finora è stato KeRanger, che tenta anche di crittografare i backup di Time Machine, per cercare di rendere impossibile per l’utente di ripristinare semplicemente i file dal backup.
Quindi se scopri che il tuo Mac è stato infettato da ransomware, devi ridurre al minimo la possibilità che i backup diventino criptati, scollegando immediatamente qualsiasi tipo di archiviazione rimovibile come dischi rigidi esterni o chiavette USB, anche da qualsiasi condivisione di rete facendo clic sull’icona di espulsione accanto alle voci nella barra laterale di Finder.

Come proteggere il Mac contro i ransomware?

Ci sono diverse cose che puoi fare per proteggere il tuo Mac contro il ransomware:

1) Prendi in considerazione l’installazione di un software antivirus (qui trovi la comparativa dei migliori per Mac), soprattutto se ci tieni ai dati presenti sul Mac, o se lo usi per lavoro.

2) Protezione base di phishing
Come molti altri ransomware e malware, WannaCry inizialmente infetta le reti di computer tramite un attacco di phishing, non aprire mai un allegato di posta elettronica che non ti aspettavi, anche se sembra provenire da qualcuno che conosci, e non importa quanto sembra importante, interessante o curioso.

Antivirus Mac comparativa

3) Non utilizzare software addizionali
Il ransomware più recente per Mac tenta di diffondersi tramite applicazioni che sono state craccate o con patcher progettate per consentire di utilizzare gratuitamente software a pagamento. Quindi evitateli oppure leggete la nostra guida sui file Torrent per ridurre i rischi, nello scambio file.

4) Assicurati sempre che il sistema e le applicazioni siano aggiornati
Questo è un punto semplice ma altrettanto trascurato! su Mac OS X è possibile configurare gli aggiornamenti automatici aprendo l’applicazione Preferenze di Sistema, che troverai nell’elenco Applicazioni del Finder e selezionando l’icona App Store. Quindi devi mettere un segno di spunta accanto a Verifica aggiornamenti automaticamente, e anche alle caselle sotto questa voce, tra cui aggiornamenti in backgroud e installa aggiornamenti app, dati di sistema e MacOS.

5) Scaricare solo da siti web ufficiali

Se improvvisamente vedi un pop-up che dice per esempio che uno dei tuoi plugin del browser è obsoleto, assicuratevi di aggiornare solo dalla pagina web ufficiale per quel plugin, ad esempio il sito web di Adobe se è il plugin Flash (uno dei più usati per diffondere malware).
Non fidatevi mai del collegamento fornito in una finestra pop-up! Gli hacker utilizzano frequentemente tali pop-up e siti web falsi per diffondere ransomware e altri malware.
Qui trovi la guida per aggiornare il Flash player in sicurezza, e qui Safari.

6) Esegui il backup frequentemente

Se si dispone di un sistema di backup dei file, è meno importante se il ransomware colpisce perché è possibile ripristinare semplicemente i dati precedenti.
Tuttavia, l’episodio di ransomware di KeRanger ha tentato di crittografare anche i backup di Time Machine, quindi è possibile scegliere di utilizzare un’applicazione di terze parti come Carbon Copy Cloner invece di eseguire il backup dei file.
Per saperne di più: Come eseguire il backup di un Mac.

Breve storia dei Ransomware su Mac

Negli ultimi anni sono aumentati gli attacchi di questo tipo, ecco un breve elenco dei principali:

2013 FBI Scam, bloccava Safari
Nel luglio 2013 i ricercatori di sicurezza hanno scoperto una truffa che punta specificamente al browser Safari Mac, l’utente viene bloccato in una falsa pagina web “FBI” tramite una finestra di dialogo che non permetteva di lasciare il sito, ed erano richiesti 300$ per sbloccare il sistema.
Chiudere il browser era impossibile, e se l’utente chiudeva Safari, la pagina ransomware si ricaricava semplicemente la prossima volta che Safari si avviava.

2014 FileCoder
FileCoder fu identificato tramite il sito web VirusTotal per la scansione dei virus, prendeva di mira specificamente OS X, ma non è una vera minaccia, in quanto non crittografa i dati dell’utente, ma visualizza una finestra che richiede un riscatto di 30 euro.

2015 Gopher e Maboia, dimostrazione di forza
Due ricercatori di sicurezza, che lavorano in modo indipendente, creano separatamente Gopher e Mabouia, due esempi di ransomware specificamente mirati a Mac.
Tuttavia entrambi sono solo dimostrativi per far capire che il ransomware sul Mac è tecnicamente possibile, e per sfatare il falso mito di sicurezza degli utenti Mac, ancora piuttosto diffuso sui forum.

2016 KeRanger la minaccia più grande
I ricercatori di sicurezza trovano e identificano il ransomware di KeRanger all’interno di un aggiornamento autorizzato per il client BitTorrent. Il primo vero esempio di Mac ransomware, questa volta i creatori di ransomware hanno chiaramente cercato di creare una vera minaccia.
KeRanger è firmato con un certificato di sicurezza autorizzato, quindi non è bloccato dal sistema di sicurezza MacOS Gatekeeper. KeRanger crittografa i file e quindi lascia un file README_FOR_DECRYPT.txt nella directory in cui viene richiesta la richiesta di riscatto in BitCoin, oltre i mille dollari.

2017 Filezip
Filezip è un ransomware mascherato come applicazione “patcher” che possono essere scaricate da siti di pirateria o dalle rete Torrent. Le patcher sono progettate per modificare illegalmente i software commerciali più diffusi come Adobe Flash o Microsoft Office.
Quando l’utente tenta di utilizzare l’applicazione piratata, Filezip crittografa i file dell’utente e quindi inserisce un file “README !.txt”, “DECRYPT.txt” o “HOW_TO_DECRYPT.txt” in ogni cartella che elenca le richieste di riscatto in Bitcoin.
In particolare, come molti esempi basati su Windows di ransomware, Filezip non è in grado di decrittografare in alcun modo qualsiasi file, quindi pagare il riscatto è inutile.

Dovrei avere un antivirus sempre attivo in memoria?

La risposta come abbiamo già detto molte volte su questo sito è Sì,si potrebbe evitare solo nel caso il Mac sia un secondo o terzo computer senza dati importanti sopra, o nel caso si aodttino comportamenti virtuosi e molto attenti nella navigazione Internet, o ancora nel caso il Mac si usi solo offline.
In tutti gli altri casi si può scegliere un antivirus che fa al caso nostro dalla comprativa tra i migliori.

 

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Attenti ai Torrent, malware cripta i file e chiede riscatto!

I malware del tipo Crypto-ransomware sono diventati molto diffusi negli ultimi mesi tra i criminali informatici. Oltre a Windows anche sistemi oeprativi come Linux o MacOS possono essere compromessi dal ransomware, che lo ricordiamo tenta di impedirci o limitarci l’utilizzo del Mac e ci chiede un riscatto!!!
Di recente abbiamo notato una nuova campagna ransomware per Mac, scritta in Swift, è distribuita tramite siti di distribuzione di file Torrent e si chiama Patcher, finge cioè di dover aggiornare qualche software.

La distrubuzione del file malware avviene spesso tramite siti di Torrent e file sharing, ad esempio il Torrent contiene un singolo file ZIP – un pacchetto di applicazione. Abbiamo visto due diversi applicativi di falsi “patcher”: uno per Adobe Premiere Pro e uno per Microsoft Office per Mac, ma potrebbero essercene molti altri tipi diversi.

Antivirus Mac comparativa

Se il tuo Mac ha problemi di avvio, leggi i nostri consigli.

L’applicazione ha una finestra con uno sfondo trasparente, che può generare confusione negli utenti, e non è ovviamente firmata con una chiave validata dalle Apple.

Processo di crittografia dei file

Facendo clic sul pulsante di avvio parte purtroppo il processo di crittografia, che copia un file chiamato README.txt (spesso presente come file di spiegazione anche in programmi regolari) in tutte le directory degli utenti, come “Documenti” e “Foto”.
Poi il ransomware genera una stringa di 25 caratteri casuale da utilizzare come chiave per crittografare i file, la stessa chiave viene utilizzata per tutti i file, che sono elencati con lo strumento da riga di comando find; lo strumento zip viene quindi utilizzato per memorizzare il file in un archivio cifrato.
Infine, il file originale viene cancellato con rm e ora di modifica del file crittografato che è impostato a mezzanotte, del 13 Febbraio 2010 con il comando touch.
Dopo la directory Users fa la stessa cosa per tutto lo storage esterno e di rete montato che trova, ed è quindi molto pericoloso.

Nessuna decrittazione possibile, anche da parte dell’autore

C’è un grosso problema con questo ransomware: non ha alcun codice per comunicare con qualsiasi server C&C. Questo significa che non esiste alcun modo che la chiave utilizzata per crittografare i file possa essere inviata agli hacker che hanno creato il malware!
Questo significa anche che non c’è modo per loro di fornire un modo per decriptare i file delle vittime, e quindi pagare il riscatto in questo caso non vi ridarà i vostri file. Questo è uno dei motivi per cui si consiglia alle vittime di non pagare mai il riscatto.
Inoltre la password ZIP casuale è generata con arc4random_uniform che è considerato un generatore di numeri casuali sicuro. La chiave è anche troppo lunga per riuscire a forzarla in tempi ragionevoli con il metodo della forza bruta.

Casella di posta pubblica

È interessante notare che l’indirizzo e-mail è un indirizzo fornito da Mailinator, che fornisce una casella di posta gratuitamente a chiunque, senza richiedere loro di autenticarsi. Ciò significa che è possibile vedere la casella di posta utilizzato per comunicare con l’autore del malware. Abbiamo monitorato questa casella di posta elettronica per l’ultima settimana e non vedere alcun messaggio. Tuttavia, è possibile che i messaggi vengono eliminati molto veloce e abbiamo semplicemente perso.

Conclusione

Questo nuovo cripto-ransomware, progettato specificamente per MacOS, non è certo un capolavoro. Purtroppo, però è ancora abbastanza efficace per evitare che le vittime riescano ad riottenere l’accesso ai propri file e potrebbe causare gravi danni.
Bisogna essere consci che c’è un aumento del rischio quando si scaricano software pirata, e che qualcuno potrebbe usare questi file di al fine di farvi eseguire malware.

Consigliamo di avere un prodotto di sicurezza installato ma la precauzione più importante nel caso in cui doveste incontrare del ransomware è quello di avere un backup sempre aggiornato non in linea di tutti i dati importanti per voi.
Se pensi di aver preso un virus esamina la questione qui.

Scarica Mackeeper l’antivirus pensato per il Mac!

Antivirus Mac comparativa

Download MacKeeper

Come gli hacker tentano di ricattare agli utenti Mac

Tornano in azione i virus che bloccano il Mac e chiedono un riscatto (detti ransomware), un mercato che sta diventando sempre più appetibile per i truffatori informatici.

Gli utenti Mac non sono quindi più immuni da questo tipo di virus ransomware, che bloccano i file sul computer della vittima, chiedendo agli utenti di inviare agli hacker del denaro, (di solito qualche centinaio di dollari o euro) ha colpito il sistema operativo desktop di Apple, secondo quanto riportano i ricercatori di sicurezza a Palo Alto Networks.

Antivirus Mac comparativa

Il virus è stato rilevato in un programma scaricabile per Mac chiamato Transmission, che viene utilizzato per condividere i dati attraverso la rete di condivisione file (spesso pirata) BitTorrent. I ricercatori hanno soprannominato il ransomware “KeRanger.”

ransomware_pagina di ricatto

Palo Alto Networks avverte che chiunque abbia scaricato il programma di trasmissione potrebbe essere a rischio. Gli hacker che hanno creato KeRanger chiedono che le vittime di pagare un riscatto in bitcoin di circa 400$, per sbloccare i file interessati, che altrimenti rimangono criptati e inaccessibili.
Non è detto però che pagando (cosa assolutamente non consigliata) arrivi poi la giusta chiave di decodifica dei file, aggiungendo al danno anche la beffa!

Apple ha preso misure per rendere impossibile l’installazione di app infette, e gli sviluppatori di Transmission hanno rilasciato un aggiornamento per risolvere il problema.

La scoperta è particolarmente degna di nota perché OS X di Apple era stato attaccato solo una volta in questo modo nel 2014, come abbiamo raccontato in questo post.
Il consiglio è sempre quello di essere molti cauti con la rete peer to peer BitTorrent, e con applicazioni sconosciute, e di installare un buon antivirus.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

I ricatti sul browser arrivano anche su Mac

Per anni gli utenti di Windows sono stati afflitti da ransomware che ricattano gli utenti chiedendo diverse centinaia di euro per sbloccare i loro computer. Spesso questo capita quando si è finiti su siti di download illegale o legati al mondo del porno, in questi casi si tenta un’estorsione ai danni degli incauti navigatori cercando di obbligarli a pagare facendo leva su una possibile denuncia penale.
Alcune volte il malware si identifica come “polizia postale” cercando di rendersi più credibile e minaccioso.

Ma da qualche tempo gli hacker sanno che c’è un crescente mercato di consumatori di Apple che, per la maggior parte, si sentono abbastanza sicuri per la navigazione su Internet su un computer Mac senza bisogno di alcun prodotto di sicurezza.

Antivirus Mac comparativa

Questi cyber criminali, hanno da poco creato un ransomware anche per Mac OS X, come riportato dal blog del noto sito Malwarebytes, non utilizzando qualche exploit complicato ma sfruttando il browser e la sua funzione ripristino da crash.
La pagina di ransomware viene fuori in particolare per la ricerca di parole chiave popolari e con URL simili a siti famosi e causano il blocco del browser web, mandando in panico l’utente, che anche riavviando Safari verrà sempre riportato alla pagina del ricatto. In alcuni casi può bastare resettare le preferenze del browser ma in molti altri ciò non è sufficiente per poter riprendere la navigazione.

Secondo Malwarebytes, negli Stati Uniti le avvertenze appaiono essere dall’FBI che intima di stare visualizzando siti vietati e per sbloccare il computer ed evitare altre conseguenze legali, si è “obbligati” a pagare una tassa  di 300 dollari.

Ecco un esempio di pagina ransomware che richiede sulla destra l’inserimento di un codice di sblocco ottenibile dietro pagamento.


Piuttosto che un sofisticato dirottamento del browser o l’installazione di un trojan, il ransomware è una semplice pagina web che utilizzando JavaScript per un iframe che richiede la conferma. Gli hacker sperano che gli utenti pagaranno il riscatto per poter usare di nuovo il browser. Infatti una caratteristica su Safari è che riapre le finestre precedentemente aperte, e ciò significa che gli utenti in genere non possono semplicemente chiudere e riaprire Safari per sfuggire al ransomware.

Un metodo per sfuggire al ransomware si ha con il ripristino di Safari: è sufficiente tenere premuto il tasto Shift mentre si fa partire Safari, questo gli impedirà di riaprire le finestre e le schede della sessione precedente. Gli utenti possono anche disattivare completamente la funzione di riapertura presente in OS X dal pannello Generale delle Preferenze di Sistema.

Se a prima vista può sembrare strano che qualcuno paghi per questi ricatti, gli hacker puntano sui grandi numeri, convogliando traffico sulle pagine trappola, bastano anche lo 0,01% degli utenti per riuscire a crearsi un guadagno importante a danno delle persone più inesperte.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Antivirus Mac comparativa