Esistono minacce ransomware su Mac OS?
Gli utenti Apple sono nel mirino?
Ripercorriamo insieme la nascita e l’evoluzione della minaccia.
La storia dell’informatica è sempre stata teatro di un dibattito molto acceso da parte dell’utenza: Windows, o Mac?
Sebbene il primo sia il target principale dei produttori di software malevolo, bisogna tenere conto che anche il suo diretto concorrente non è esente da infezioni ransomware.
Questo perché il sistema operativo di casa Apple ha avuto modo di scontrarsi con questa realtà del mondo IT solo nel 2016, quando il primo ransomware studiato ad hoc per Mac OS apparve sulla scena. Ciò sollevò più di un dubbio riguardo l’effettiva sicurezza dell’ecosistema Apple, in quanto anche loro erano divenuti un bersaglio dei vari collettivi criminali.
In questo articolo ripercorreremo assieme gli eventi salienti dell’evoluzione dei ransomware per Mac OS e come le contromisure di sicurezza informatica siano progredite per contrastarli.
2016: KeRanger ransomware, l’inizio di tutto
Il 4 marzo 2016 è passato alla storia come il giorno in cui le cose sono cambiate radicalmente per gli utenti Mac OS.
La multinazionale Palo Alto Networks scoprì infatti il primo ransomware capace di infettare i sistemi operativi Apple: KeRanger.
Nello specifico si trattava di un ransomware che si infiltrava nei sistemi come un trojan horse, il cui metodo di diffusione prediletto era Transmission: un popolare client di BitTorrent. La versione con cui KeRanger penetrava nei sistemi era la 2.90, ma solo se questa era in esecuzione su Mac OS X 10.11.3, versione distribuita da Apple con il codename El Captain.
Si stima che KeRanger si sia propagato attraverso 7000 sistemi Apple, attraverso il file .dmg di Transmission che gli utenti scaricavano direttamente dal sito ufficiale, già compromesso dai cybercriminali autori del ransomware.
Palo Alto Networks aggiunse il ransomware ai suoi database e il 6 marzo 2016 diffuse un comunicato, in cui invitava l’utenza a scaricare immediatamente la versione 2.92 di Transmission, poiché le due precedenti erano in realtà il ransomware KeRanger camuffato da client.
Funzionamento
Al momento della sua esecuzione, KeRanger creava tre files nella cartella ~/Library:
- .kernel.pid
- .kernel_time
- .kernel_complete
Sovrascritto il vero file .kernel_time, andava in sospensione per tre giorni, allo scadere dei quali raccoglieva le informazioni sul Mac OS su cui si trovava, per poi dare inizio all’infezione. Completata la raccolta di informazioni, KeRanger installava il proprio server di C2 (Command and Control), i cui domini erano tutti sottodomini di link onion, accessibili quindi tramite rete Tor.
Questo serviva essenzialmente a estrarre i dati del sistema infettato, generare un numero casuale (RN – Random Number) e un vettore di inizializzazione (IV – Initialization Vector). Il mix di RN e IV generava una chiave di criptazione AES, con cui il contenuto di tutti i file veniva criptato e l’algoritmo finale di RSA generava un unico file criptato.
Ultimata questa operazione, un ultimo file veniva ottenuto dal server C2, ovvero un file .txt chiamato “README_FOR_DECRYPT”, in cui l’utente veniva informato dell’infezione da ransomware e gli veniva chiesto un riscatto in Bitcoin per ottenere la chiave di decriptazione. La somma richiesta era pari a 400 dollari.
2017: Patcher ransomware
Nel marzo 2017, un anno dopo l’avvento di KeRanger ransomware, un nuovo attore fece capolino sulla scena Mac Os: Patcher ransomware.
Conosciuto anche come FileCoder, si trattava di un ransomware che si camuffava da “cracker”, ovvero un software capace di bypassare le misure di copy protection dei programmi commerciali più richiesti, come Microsoft Office per Mac, o Adobe Premiere.
Anche questo venne diffuso tramite la rete torrent ed emerse che i suoi autori non erano particolarmente esperti in programmazione, poiché Patcher presentava notevoli falle nel suo codice. Ad esempio, non era possibile riaprire la sua finestra una volta che questa era stata chiusa. Questa può sembrare una situazione anomala, ma per chi è avvezzo a scaricare software pirata, è la normalità.
Funzionamento Patcher ransomware
Quando eseguito, Patcher generava una stringa di 25 caratteri casuali, che utilizza come chiave per criptare tutti i file presenti sul Mac infettato.
Inoltre, questo tentava anche un attacco diretto allo spazio libero sul disco a causa di un errore nel suo codice.
A criptazione ultimata l’unico file usabile rimanente era il consueto README.txt contenente le informazioni sull’infezione, su come contattare gli autori malevoli e l’ammontare del riscatto da pagare in Bitcoin.
Tutta prassi standard per un ransomware?
Direi proprio di no, in quanto, vuoi più per negligenza, che per errori di programmazione, nel codice di Patcher non era presente alcuna funzione di comunicazione con l’esterno della macchina infettata. In altre parole, era impossibile potersi mettere in contatto con i cybercriminali sia per pagare il riscatto, che per ottenere la chiave di decriptazione.
2020: ThiefQuest ransomware
Facciamo un salto in avanti di tre anni e approdiamo al 2020.
Sebbene quest’anno sia passato alla storia per un altro genere di virus, un altro attore malevolo scosse non poco la scena Mac: ThiefQuest.
Lo scossone che ne conseguì, fu legato alla sua unicità sulla scena, in quanto si trattava di un virus che incapsulava al suo interno una tripla minaccia: ransomware, spyware e data theft al tempo stesso. Questo era ciò che si definisce un ransomware honest-to-goodness e il primo nel suo genere per Mac OS.
ThiefQuest era distribuito sotto forma di installer per applicazioni Mac, in particolare le versioni pirata di:
- Mixed In Key
- Ableton
- Little Snitch
Funzionamento ThiefQuest ransomware
Il ransomware si comporta all’inizio come tutti gli altri software malevoli della categoria: cripta i file presenti sul sistema infettato, nasconde la chiave di decriptazione e dirotta l’utente verso un pop up che lo mette al corrente della situazione.
Il riscatto richiesto da parte degli attaccanti è 50 dollari in Bitcoin. Tuttavia, è bene far notare che non è questo lo scopo principale di ThiefQuest.
Analizzando a fondo la situazione, emerge che il ransomware non cripta i file in maniera efficace come nel caso di KeRanger, ma utilizza un algoritmo di criptazione molto più blando. Ciò ha permesso ai ricercatori del gruppo SentinelOne di mettere a punto uno strumento di decriptazione in poche settimane dalla sua scoperta.
Tuttavia, Patrick Wardle, un esperto di cybersecurity, scoprì che il virus era disegnato per essere principalmente uno spyware e un malware con funzionalità di data exfiltration. Ciò spiegò il motivo per cui molti utenti infettati potessero continuare a utilizzare tranquillamente il Mac, nonostante la criptazione di alcuni file.
ThiefQuest possiede infatti un comando che attiva un keylogger, con cui i suoi autori possono registrare tutte le azioni che l’utente infettato compie.
A ciò di aggiunge la sua capacità di data theft, realizzata mediante la creazione di un vero e proprio inventario di cartelle da cercare sul sistema che infetta. Il suo target sono le criptovalute, per cui ThiefQuest va alla ricerca di certificati, chiavi e portafogli utente.
Una volta trovati, li invia direttamente ai suoi autori mediante il server C2 con cui comunica.
Ma il server viene usato anche per scaricare e installare sul Mac infetto svariati payload malevoli, che possono condurre ad attacchi di tipo RDP. Inoltre, è perfino in grado di accorgersi se è in esecuzione su un vero Mac, o su una macchina virtuale.
Futuro della sicurezza per Mac
Nonostante il Mac sia in circolazione da oltre quarant’anni, il suo primo ransomware risale ad appena otto anni fa.
Ciò pone un interrogativo di non poco conto: perché i cybercriminali hanno deciso solo adesso di attaccare direttamente gli utenti Mac con i loro ransomware?
La risposta è da ricercarsi nella sua crescente popolarità in ambito professionale, in quanto gli studi di registrazione, di grafica e l’industria cinematografica predilige l’utilizzo di Mac OS rispetto a Windows, in virtù del suo miglior supporto software e l’ecosistema controllato.
A questo si aggiunge anche la creazione dei SoC proprietari Apple Silicon, con la serie M che è entrata in diretta competizione con Intel e ARM.
Si tratta quindi di una risorsa molto appetibile da parte dei cybercriminali, che finalmente possiedono un’ulteriore alternativa ai sistemi Microsoft e alle piattaforme basate su CPU Intel.
Tuttavia, questa è anche una corsa contro il tempo per loro, in quanto l’obsolescenza programmata di Apple non rende il loro software malevolo in grado di propagarsi come accade sui sistemi concorrenti.
Una prova di quest’affermazione è da ricercarsi in LockBit, che, pur presentandosi come un nuovo ransomware per Mac nel 2023, si è dimostrato essere un progetto ancora nelle fasi embrionali di sviluppo. Ciò non significa assolutamente che gli utenti Mac siano al sicuro, o che si possa abbassare la guardia.
È solo un ulteriore promemoria di come la scena malevola sia in rapida evoluzione.
I ransomware per Mac sono là fuori e sono prossimi a colpire con molta forza nei prossimi anni.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.