Cosa sono e come difendersi dai pericolosi Ransomware Mac

Hai sentito parlare dei pericolosi cyberattacchi in cui alle vittime viene impedito l’accesso ai propri file? Questo tipo di infezione malware si chiama ransomware, crittografa i file, poi promette di fornire una soluzione in cambio di un riscatto, si tratta quindi di un volgare ricatto!
Vediamo meglio di cosa si tratta, come prevenirli e coome comportarsi nello sfortunato caso che il nostro Mac sia attaccato.

I Mac possono prendere il ransomware?

Purtroppo sì, quindi, devi essere pronto a proteggere il tuo Mac dai criminali informatici che cercano di prendere in ostaggio i tuoi preziosi dati.
Le misure di prevenzione di base come l’aggiornamento del sistema e la creazione frequente di backup sono necessarie, ma non possono garantire una protezione completa.

Ha fatto scalpore alcuni anni fa l’enorme diffusione e la pericolosità di WannaCry, il virus che ha contagiato oltre 200mila computer in più di 150 paesi, bloccando i dati e chiedendo riscatti.
Il virus ha attaccato solo i sistemi Windows, ma ci sono stati diversi casi di ransomware creati solo per il sistema operativo OS X:

ransomware-mac

Cosa sono e come agiscono i ransomware Mac

Il ransomware è un tipo di attacco malware in cui i file presenti sugli hard disk dei computer vengono crittografati (resi cioè illeggibili senza avere una chiave di decriptazione) viene poi presentata una richiesta di riscatto, spesso di qualche centinaio di euro, se si desidera ripristinare nuovamente i file, e spesso nella nuova moneta viruale i Bitcoin, che sono di fatto non rintracciabili.
Anche se al momento non ci sono ancora stati episodi ransomware sul Mac così gravi come WannaCry, i ricercatori di sicurezza ritengono che questa sia una possibilità. Ad esempio, i ricercatori di sicurezza hanno trovato linee di codice specifiche per Mac nel ransomware di Windows, il che indica che gli hakcer stanno almeno considerando la possibilità.

Aleksandr Yampolskiy, presidente di SecurityScorecard, ha insistito sul fatto che gli utenti di Apple sono vulnerabili agli attacchi del tipo WannaCry.

Esempio di messaggio ricattatorio che avverte che il nostri file sono stati criptati e resi inaccessibili dal malware Keranger

In queasto caso gli hacker che hanno creato KeRanger chiedono che le vittime di pagare un riscatto in bitcoin di circa 400$, per sbloccare i file interessati, che altrimenti rimangono criptati e inaccessibili.
Non è detto però che pagando (cosa assolutamente non consigliata) arrivi poi la giusta chiave di decodifica dei file, aggiungendo al danno anche la beffa!

I cyber criminali hanno già da anni creato ransomware che prendono di mira anche OS X, come riportato dal blog del noto sito Malwarebytes, non utilizzando qualche exploit complicato ma sfruttando il browser e la sua funzione ripristino da crash.
La pagina di ransomware viene fuori in particolare per la ricerca di parole chiave popolari e con URL simili a siti famosi e causano il blocco del browser web, mandando in panico l’utente, che anche riavviando Safari verrà sempre riportato alla pagina del ricatto. In alcuni casi può bastare resettare le preferenze del browser ma in molti altri ciò non è sufficiente per poter riprendere la navigazione.

Piuttosto che un sofisticato dirottamento del browser o l’installazione di un trojan, il ransomware è una semplice pagina web che utilizzando JavaScript per un iframe che richiede la conferma.
Gli hacker sperano che gli utenti pagaranno il riscatto per poter usare di nuovo il browser. Infatti una caratteristica su Safari è che riapre le finestre precedentemente aperte, e ciò significa che gli utenti in genere non possono semplicemente chiudere e riaprire Safari per sfuggire al ransomware.

Un metodo per evitatare il ransomware si ha con il ripristino di Safari: è sufficiente tenere premuto il tasto Shift mentre si fa partire Safari, questo gli impedirà di riaprire le finestre e le schede della sessione precedente. Gli utenti possono anche disattivare completamente la funzione di riapertura presente in OS X dal pannello Generale delle Preferenze di Sistema.

Il mio Mac è stato attaccato, come devo comportarmi?

Se siamo stati infettati da ransomware perchè non avevamo un antivirus attivo sul Mac, non andiamo nel panico, utilizzare uno scanner antivirus come Bitdefender o MacKeeper per cercare il ransomware e rimuoverlo.
È improbabile che sarai l’unica persona interessata dal ransomware quindi tieni d’occhio i siti di sicurezza come questo, (qui trovi un elenco dei virus principali presenti su Mac) dove troverai istruzioni specifiche su come pulire l’infezione.

Armati di pazienda e forse i ricercatori di sicurezza troveranno un modo per decriptare i tuoi file gratuitamente, in ogni caso NON PAGARE, non solo per non dare soldi agli hacker ma perchè, c’è una buona probabilità di pagare e non recuperare i tuoi file!

Scollegare gli hard disk esterni di backup

L’unico esempio di ransomware efficace visto su un Mac finora è stato KeRanger, che tenta anche di crittografare i backup di Time Machine, per cercare di rendere impossibile per l’utente di ripristinare semplicemente i file dal backup.
Quindi se scopri che il tuo Mac è stato infettato da ransomware, devi ridurre al minimo la possibilità che i backup diventino criptati, scollegando immediatamente qualsiasi tipo di archiviazione rimovibile come dischi rigidi esterni o chiavette USB, anche da qualsiasi condivisione di rete facendo clic sull’icona di espulsione accanto alle voci nella barra laterale di Finder.

Identificare il tipo di ransomware

Ora, è necessario capire con cosa si ha a che fare, i ceppi comuni di ransomware per Mac di solito rientrano nei seguenti tipi principali:

  • Filecoder. Il tipo più pericoloso di ransomware, un filecoder attacca un Mac criptando e bloccando i file e l’intera unità. Sono responsabili di circa il 90% degli incidenti ransomware.
    Se subisci un attacco filecoder, aspettati che i criminali informatici chiedano un riscatto in cambio delle chiavi di decrittazione. Gli aggressori di solito minacciano di danneggiare o distruggere i file se la vittima non paga prima della scadenza fissata.
  • Scareware. Anche se è il meno pericoloso, lo scareware può essere molto fastidioso. Di solito si presentano sotto forma di annunci pop-up o pagine web fasulle che ti chiedono di pagare per uno strumento di sicurezza che pretende di rimuovere problemi inesistenti dal tuo computer. Un software anti-malware può aiutarti a sbarazzarti di questo tipo di ransomware.
  • Doxxing. In una situazione di doxxing, i criminali informatici minacciano di pubblicare dati sensibili come informazioni sulla carta di credito, nomi utente e password se non paghi il riscatto. Sebbene non sia esattamente un ceppo del ransomware, il doxxing può avvenire dopo che i criminali del ransomware si sono infiltrati con successo nel vostro sistema e hanno avuto accesso ai vostri dati.
    Le aziende del settore consumer o quelle che forniscono beni e servizi non essenziali sono le vittime più comuni di questi attacchi. Sono un obiettivo facile perché tendono ad avere reti vulnerabili.
  • Screenlockers. Gli screenlocker bloccano le vittime fuori dal loro Mac. Uno schema particolarmente noto è la truffa FBI MoneyPak, dove gli attaccanti sostengono che hai fatto qualcosa di illegale e devi pagare una multa per riavere l’accesso al tuo computer. Sul tuo schermo appariva un avviso dall’aspetto ufficiale con le istruzioni su come pagare la multa.

Per identificare lo specifico ceppo di ransomware per Mac che sta attaccando il tuo sistema, puoi usare gli strumenti di rimozione del malware o eseguire le tue indagini visitando i forum tecnici e cercando approfondimenti.

Come Recuperare i file bloccati

Dopo esservi assicurati di aver rimosso tutte le tracce del ransomware, potete iniziare a lavorare sul recupero dei file. Puoi ripristinare i file da un backup, usare uno strumento di decrittazione o un software di recupero dati come Disk Drill.

Ripristinare i file da un backup
Il ripristino funziona solo se hai dei file di backup. Se hai impostato la tua Time Machine per memorizzare automaticamente i backup, è probabile che tu abbia dei file da recuperare.

Ecco come ripristinare i file di backup da Time Machine:

  1. Vai sull’icona Apple nell’angolo in alto a sinistra dello schermo del tuo Mac e seleziona Preferenze di sistema.
  2. Clicca su Time Machine.
  3. Seleziona la casella di controllo per Mostra Time Machine nella barra dei menu.
  4. Clicca sull’icona di Time Machine nella barra dei menu, quindi seleziona Entra in Time Machine.
  5. Trova i file e le cartelle che vorresti recuperare, poi clicca su Ripristina.

Il tuo account iCloud potrebbe anche avere tutti i tuoi file essenziali che aspettano solo di essere ripristinati. Per recuperare i file da iCloud, segui questi semplici passi:

  1. Vai su iCloud.com e accedi al tuo account.
  2. Fare clic su iCloud Drive.
  3. Apri le cartelle e scarica i file che vuoi recuperare facendo doppio clic su di essi.

Come proteggere il Mac contro i ransomware in 7 mosse

Ci sono diverse cose che puoi fare per proteggere il tuo Mac contro il ransomware:

1) Prendi in considerazione l’installazione di un software antivirus (qui trovi la comparativa dei migliori per Mac), soprattutto se ci tieni ai dati presenti sul Mac, o se lo usi per lavoro.

2) Protezione base di phishing
Come molti altri ransomware e malware, WannaCry inizialmente infetta le reti di computer tramite un attacco di phishing, non aprire mai un allegato di posta elettronica che non ti aspettavi, anche se sembra provenire da qualcuno che conosci, e non importa quanto sembra importante, interessante o curioso.

3) Non utilizzare software pericolosi
Il ransomware più recente per Mac tenta di diffondersi tramite applicazioni che sono state craccate o con patcher progettate per consentire di utilizzare gratuitamente software a pagamento. Quindi evitateli oppure leggete la nostra guida sui file Torrent per ridurre i rischi, nello scambio file.

4) Diffida di cliccare su link e allegati non sicuri

Evita di cliccare su link da siti web sconosciuti e messaggi di spam. Un solo clic può scaricare istantaneamente malware. Dovresti anche evitare di aprire allegati provenienti da mittenti di e-mail che non riconosci. Alcune e-mail fingono di provenire da fonti ufficiali, quindi presta molta attenzione all’indirizzo e-mail del mittente. I mittenti dubbi hanno spesso annunci email che non usano il dominio dell’organizzazione dopo il simbolo “@”.

Non importa quanto tu sia attento, puoi sempre cliccare inavvertitamente su link non sicuri. Per assicurarti che i tuoi file rimangano al sicuro, scarica un’estensione del browser che rileva le frodi e filtra i siti dannosi.

5) Assicurati sempre che il sistema e le applicazioni siano aggiornati
Questo è un punto semplice ma altrettanto trascurato! su Mac OS X è possibile configurare gli aggiornamenti automatici aprendo l’applicazione Preferenze di Sistema, che troverai nell’elenco Applicazioni del Finder e selezionando l’icona App Store. Quindi devi mettere un segno di spunta accanto a Verifica aggiornamenti automaticamente, e anche alle caselle sotto questa voce, tra cui aggiornamenti in backgroud e installa aggiornamenti app, dati di sistema e MacOS.

6) Scaricare solo da siti web ufficiali

Se improvvisamente vedi un pop-up che dice per esempio che uno dei tuoi plugin del browser è obsoleto, assicuratevi di aggiornare solo dalla pagina web ufficiale per quel plugin, ad esempio il sito web di Adobe se è il plugin Flash (uno dei più usati per diffondere malware).
Non fidatevi mai del collegamento fornito in una finestra pop-up! Gli hacker utilizzano frequentemente tali pop-up e siti web falsi per diffondere ransomware e altri malware.
Qui trovi la guida per aggiornare il Flash player in sicurezza, e qui Safari.

7) Esegui il backup frequentemente

Se si dispone di un sistema di backup dei file, è meno importante se il ransomware colpisce perché è possibile ripristinare semplicemente i dati precedenti.
Tuttavia, l’episodio di ransomware di KeRanger ha tentato di crittografare anche i backup di Time Machine, quindi è possibile scegliere di utilizzare un’applicazione di terze parti come Carbon Copy Cloner invece di eseguire il backup dei file.
Per saperne di più: Come eseguire il backup di un Mac.

Storia dei principali Ransomware apparsi su Mac

Negli ultimi anni sono aumentati gli attacchi di questo tipo, ecco un breve elenco dei principali:

2013 FBI Scam, bloccava Safari
Nel luglio 2013 i ricercatori di sicurezza hanno scoperto una truffa che punta specificamente al browser Safari Mac, l’utente viene bloccato in una falsa pagina web “FBI” tramite una finestra di dialogo che non permetteva di lasciare il sito, ed erano richiesti 300$ per sbloccare il sistema.
Chiudere il browser era impossibile, e se l’utente chiudeva Safari, la pagina ransomware si ricaricava semplicemente la prossima volta che Safari si avviava.

2014 FileCoder
FileCoder fu identificato tramite il sito web VirusTotal per la scansione dei virus, prendeva di mira specificamente OS X, ma non è una vera minaccia, in quanto non crittografa i dati dell’utente, ma visualizza una finestra che richiede un riscatto di 30 euro.

2015 Gopher e Maboia, dimostrazione di forza
Due ricercatori di sicurezza, che lavorano in modo indipendente, creano separatamente Gopher e Mabouia, due esempi di ransomware specificamente mirati a Mac.
Tuttavia entrambi sono solo dimostrativi per far capire che il ransomware sul Mac è tecnicamente possibile, e per sfatare il falso mito di sicurezza degli utenti Mac, ancora piuttosto diffuso sui forum.

2016 KeRanger la minaccia più grande
I ricercatori di sicurezza trovano e identificano il ransomware di KeRanger all’interno di un aggiornamento autorizzato per il client BitTorrent. Il primo vero esempio di Mac ransomware, questa volta i creatori di ransomware hanno chiaramente cercato di creare una vera minaccia.
KeRanger è firmato con un certificato di sicurezza autorizzato, quindi non è bloccato dal sistema di sicurezza MacOS Gatekeeper. KeRanger crittografa i file e quindi lascia un file README_FOR_DECRYPT.txt nella directory in cui viene richiesta la richiesta di riscatto in BitCoin, oltre i mille dollari.

2017 Filezip
Filezip è un ransomware mascherato come applicazione “patcher” che possono essere scaricate da siti di pirateria o dalle rete Torrent. Le patcher sono progettate per modificare illegalmente i software commerciali più diffusi come Adobe Flash o Microsoft Office.
Quando l’utente tenta di utilizzare l’applicazione piratata, Filezip crittografa i file dell’utente e quindi inserisce un file “README !.txt”, “DECRYPT.txt” o “HOW_TO_DECRYPT.txt” in ogni cartella che elenca le richieste di riscatto in Bitcoin.
In particolare, come molti esempi basati su Windows di ransomware, Filezip non è in grado di decrittografare in alcun modo qualsiasi file, quindi pagare il riscatto è inutile.

2020 Thief Quest

Dovrei avere un antivirus sempre attivo in memoria?

La risposta come abbiamo già detto molte volte su questo sito è Sì! Si potrebbe evitare solo nel caso il Mac sia un secondo o terzo computer senza dati importanti sopra, o nel caso si adottino comportamenti virtuosi e molto attenti nella navigazione Internet, o ancora nel caso il Mac si usi solo offline.
In tutti gli altri casi si può scegliere un antivirus che fa al caso nostro dalla comprativa tra i migliori.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto