Ricercatori dei laboratori FortiLab hanno scoperto ed individuato un nuovo servizio di vendita/noleggio ransomware per sistemi Mac. I servizi sono offerti tramite due portali chiamati MacRansom e MacSpy e offrono caratteristiche degne di nota come ad esempio l’invisibilità agli utenti, pianificazione del momento in cui eseguire la criptazione dei dati e molto altro. Attualmente un limite è che il ransom cripta fino ad un massimo di 128 file.
Grazie al reverse engineering eseguito dai ricercatori sembra che una volta terminata la cifratura dei file, non ne sia possibile il ripristino, infatti non vi è alcuna prova che questo avvenga, il file relativo la cifratura chiamato TargetFileKey viene eliminato dalla memoria e non ne viene eseguita una copia.
Questo file chiamato TargetFileKey è usato per cifrare e decifrare i file della vittima, è ovvio che se viene cancellato il ripristino non può esser eseguito.
Un ulteriore modo conosciuto per il recupero dei dati è tramite un attacco brute-force visto e considerato che il file incriminato è di soli 8 byte.
Questo conferma di quanto sia in espansione nel mondo underground criminale il concetto di servizio come questo, finora diffuso principalmente per sistemi Windows, ma in rapida ascesa per molti altri sistemi tra cui proprio Mac Os e Linux.
Per i sistemi Mac vi invitiamo a leggere questo articolo dove riportiamo alcuni strumenti utili a proteggervi da questo tipo di attacchi: Strumenti utili per la sicurezza del tuo Mac!
Fonti: MacSpy: OS X RAT as a Service | AlienVaultMacRansom: Offered as Ransomware as a Service | Fortinet Blog
