Il rischio di ritrovarsi con in computer “sequestrato” da un ransomware raggiunge anche i possessori di Macbook e iMac. I ricercatori di Palo Alto Networks hanno scoperto KeRange, un’infezione di tipo cryptovirus, ovvero in grado di crittografare tutto il contenuto del sistema su cui si installa e poi chiedere un riscatto in monetario in cambio della “liberazione” dei file. Nel caso specifico, KeRange (così battezzato dai ricercatori che l’hanno scoperto) si propaga attraverso il file di installazione di Transmission, un client BitTorrent open source piuttosto popolare e apprezzato, fra l’altro aggiornato pochi giorni fa alla nuova versione 2.90.
Proprio in essa è contenuto il cryptovirus, che a tre giorni dall’installazione su un dispositivo Apple si connette con i server di comando e controllo attraverso la rete Tor, per poi procedere alla crittografia di alcune partizioni e documenti del computer. Una volta resi illeggibili i file scatta la richiesta del riscatto, un importo in Bitcoin, corrispondente a circa 400 dollari. E non solo: secondo Palo Alto, il ransomware può anche tentare l’accesso alla Time Machine, per crittografare anche i contenuti del backup.
“Riteniamo si tratti del primo ransomware pienamente funzionante osservato sulla piattaforma OS X”, sottolineano da Palo Alto, citando il caso di alcuni utenti già colpiti. Un precedente esiste, in realtà: FileCoder, individuato nel 2014 da Kaspersky Lab. In quel caso, però, il codice risultava incompleto nel momento della scoperta. In ogni caso, KeRange è un segnale di forza della minaccia cybercriminale, che dopo aver esteso la propria portata a iOS ora sfata il mito dell’invincibilità di OS X.
Nel caso specifico, Palo Alto ipotizza che l’infezione sia la conseguenza di una manomissione del sito Web ufficiale di Transmission: i criminali avrebbero sostituito all’installer originale un programma contenente il cryptovirus. In questo modo si utilizza come insospettabile veicolo un’applicazione che ha ricevuto il lasciapassare di Apple, cioè la signature, e dunque non viene riconosciuta come pericolosa nel momento del download. Il suggerimento, per chi avesse scaricato l’ultima versione di Tansmission, è quella di verificare se il proprio Macbook o iMac sia stato infettato. Palo Alto ha descritto nei dettagli la procedura da seguire (in fondo alla pagina linkata).
Transmission, inoltre, ha provveduto a ripulire dall'infezione e ad aggiornare il programma con la versione 2.92. La release 2.91, pur non essendo compromessa, non è in grado di rimuovere il virus e dunque è tassativo installare la numero 2.92 .
Il metodo della crittografia dei file a fini di riscatto è sempre più popolare, come testimoniano gli ultimi report in tema di criminalità informatica. Fra i ransomware attualmente in circolazione spiccano Cryptolocker, Cryptowall, CoinVault, BitCryptor, TorrentLocker, TeslaCrypt e – adesso – anche KeRange. Anche in Italia, secondo le previsioni del Clusit, quest’anno dovremo attenderci una sempre maggior presenza di campagne di estorsione monetaria basate su questi strumenti.