- Регистрация
- 24.11.2016
- Сообщения
- 706
- Репутация
В конце прошлой недели эксперты по кибербезопасности сообщили об обнаружении MacRansom – нового зловреда-вымогателя, распространяемого бесплатно по модели Ransomware as a Service (RaaS). Как указывается, на момент выявления MacRansom атаковал компьютеры пользователей уже на протяжении нескольких недель.
Вымогатель доступен на специальном портале в сети Tor, однако доступ к нему не так просто получить. Для этого заинтересованные лица должны напрямую связаться с авторами MacRansom через электронную почту, зарегистрированную на безопасном email-сервисе ProtonMail. Роммель Йовен (Rommel Joven) и Уэйн Чин Лоу (Wayne Chin Low) из компанииFortinet прошли все «бюрократические» процедуры и поделились анализом вредоносной RaaS инфраструктуры в
В ответ на запрос на получение доступа к MacRansom Роммелю и Уэйну пришло письмо от авторов вымогателя, вероятно бывших программистов из Yahoo или Facebook, которые специализируются на разработке вредоносных программ для операционной системы Apple. «Народу давно не хватало такого софта на macOS, вот и мы и сделали наш сервис бесплатным и доступным всем желающим. В отличие от большинства хакеров в даркнете, мы являемся профессиональными разработчиками с большим опытом в создании софта и системах наблюдения. Нам можно доверять – точно также как миллиарды юзеров по всему миру доверяют нашим легальным продуктам».
Дальше эксперты долго переписывались с авторами по поводу подробностей функционирования MacRansom, оценки количества биткоинов, которое будут готовы заплатить жертвы, выбора биткоин-адреса для приёма выкупа, времени и обстоятельств активации вымогателя, возможности запуска с USB-носителя.
В конце концов Йовен и Уэйн всё таки получили zip-архив, содержащий вредоносную программу и провели её анализ. При запуске исполняемого файла операционная система выдаёт предупреждение о его сомнительном происхождении, так что заразить компьютер можно исключительно вручную, пренебрегая рекомендациями macOS. Пользователи, практикующие основные правила компьютерной гигиены и не запускающие программы, полученные из неизвестных источников по умолчанию защищены от атаки MacRansom.
После запуска вымогатель определяет среду выполнения и в случае, если обнаружен не-mac компьютер или режим отладки, прекращает работу. В обратном случае программа проверяет текущую дату и в случае совпадения с указанной датой активации начинает шифровать пользовательские данные (максимум 128 файлов). Для этого используется симметричное шифрование с заранее запрограммированным ключом при помощи следующей команды:
Для расшифровки файлов вымогатель запрашивает выкуп в размере 0.25 биткоина (примерно $700) и предлагает связаться с авторами по электронной почте по адресу getwindows@protonmail.com для получения дальнейших указаний. Впрочем, как указывают эксперты, вернуть зашифрованные файлы обратно «к жизни» вряд ли удастся из-за бага к алгоритме шифрования.
Реверс-исследование алгоритма показало, что у каждой жертвы уникальный ключ дешифрования (TargetFileKey), который изменяется при помощи случайных чисел. «Иными словами, повреждённые данные просто невозможно восстановить, поскольку вымогатель не передаёт ключ на C&C сервер, и стирает его из памяти после закрытия программы». Единственным возможным вариантом восстановления остаётся brute-force атака против криптоалгоритма (перебор ключей), которая, однако, также не является гарантией возврата данных.
Вчера известный эксперт по безопасности mac-компьютеров Патрик Уордл (Patrick Wardle) из компании Synack
Кстати говоря, новость о MacRansom вышла в один день с обнаружением другой вредоносной программы для macOS — бэкдора
Любопытно, MacSpy использует ту же риторику при взаимодействии с потенциальными заказчиками, подчёркивая профессионализм авторов и актуальность создания вредоносных программ для macOS.
Питер Ивейн (Peter Ewane), аналитик из AlienVault, указывает, что MacSpy при помощи POST-запросов через сеть Tor незаметно передаёт данные с зараженных компьютеров на удалённый C&C сервер. Этот процесс повторяется для разных типов данных, после чего бэкдор удаляет временные файлы, содержащие украденные данные.
Складывается впечатление, что киберпреступники, словно сговорившись, начали активно осваивать macOS для расширения возможностей преступных заработков. Впрочем, их усилия пока не приводят к массовым эпидемиям и быстро нейтрализуются компаниями-разработчиками продуктов для кибербезопасности. Например, вымогатель
Вымогатель доступен на специальном портале в сети Tor, однако доступ к нему не так просто получить. Для этого заинтересованные лица должны напрямую связаться с авторами MacRansom через электронную почту, зарегистрированную на безопасном email-сервисе ProtonMail. Роммель Йовен (Rommel Joven) и Уэйн Чин Лоу (Wayne Chin Low) из компанииFortinet прошли все «бюрократические» процедуры и поделились анализом вредоносной RaaS инфраструктуры в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.В ответ на запрос на получение доступа к MacRansom Роммелю и Уэйну пришло письмо от авторов вымогателя, вероятно бывших программистов из Yahoo или Facebook, которые специализируются на разработке вредоносных программ для операционной системы Apple. «Народу давно не хватало такого софта на macOS, вот и мы и сделали наш сервис бесплатным и доступным всем желающим. В отличие от большинства хакеров в даркнете, мы являемся профессиональными разработчиками с большим опытом в создании софта и системах наблюдения. Нам можно доверять – точно также как миллиарды юзеров по всему миру доверяют нашим легальным продуктам».
Дальше эксперты долго переписывались с авторами по поводу подробностей функционирования MacRansom, оценки количества биткоинов, которое будут готовы заплатить жертвы, выбора биткоин-адреса для приёма выкупа, времени и обстоятельств активации вымогателя, возможности запуска с USB-носителя.
В конце концов Йовен и Уэйн всё таки получили zip-архив, содержащий вредоносную программу и провели её анализ. При запуске исполняемого файла операционная система выдаёт предупреждение о его сомнительном происхождении, так что заразить компьютер можно исключительно вручную, пренебрегая рекомендациями macOS. Пользователи, практикующие основные правила компьютерной гигиены и не запускающие программы, полученные из неизвестных источников по умолчанию защищены от атаки MacRansom.
После запуска вымогатель определяет среду выполнения и в случае, если обнаружен не-mac компьютер или режим отладки, прекращает работу. В обратном случае программа проверяет текущую дату и в случае совпадения с указанной датой активации начинает шифровать пользовательские данные (максимум 128 файлов). Для этого используется симметричное шифрование с заранее запрограммированным ключом при помощи следующей команды:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Для расшифровки файлов вымогатель запрашивает выкуп в размере 0.25 биткоина (примерно $700) и предлагает связаться с авторами по электронной почте по адресу getwindows@protonmail.com для получения дальнейших указаний. Впрочем, как указывают эксперты, вернуть зашифрованные файлы обратно «к жизни» вряд ли удастся из-за бага к алгоритме шифрования.
Реверс-исследование алгоритма показало, что у каждой жертвы уникальный ключ дешифрования (TargetFileKey), который изменяется при помощи случайных чисел. «Иными словами, повреждённые данные просто невозможно восстановить, поскольку вымогатель не передаёт ключ на C&C сервер, и стирает его из памяти после закрытия программы». Единственным возможным вариантом восстановления остаётся brute-force атака против криптоалгоритма (перебор ключей), которая, однако, также не является гарантией возврата данных.
Вчера известный эксперт по безопасности mac-компьютеров Патрик Уордл (Patrick Wardle) из компании Synack
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
MacRansom «полной хренью». Он также обратил внимание, что зашифрованные файлы не подлежат восстановлению. По его словам защититься от вымогателя можно в том числе при помощи его бесплатной утилиты
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, которая мониторит потенциально опасные процессы на macOS, которые могут шифровать файлы.Кстати говоря, новость о MacRansom вышла в один день с обнаружением другой вредоносной программы для macOS — бэкдора
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. По всей видимости, оба зловреда принадлежат «перу» одних и тех же авторов.MacSpy так же можно получить через email, связавшись с его автором; зловред использует те же способы противодействия отладке; он так же хостится на похожем сайте в сети Tor и так же кастомизируется под специфические требования заказчика:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Любопытно, MacSpy использует ту же риторику при взаимодействии с потенциальными заказчиками, подчёркивая профессионализм авторов и актуальность создания вредоносных программ для macOS.
Питер Ивейн (Peter Ewane), аналитик из AlienVault, указывает, что MacSpy при помощи POST-запросов через сеть Tor незаметно передаёт данные с зараженных компьютеров на удалённый C&C сервер. Этот процесс повторяется для разных типов данных, после чего бэкдор удаляет временные файлы, содержащие украденные данные.
Складывается впечатление, что киберпреступники, словно сговорившись, начали активно осваивать macOS для расширения возможностей преступных заработков. Впрочем, их усилия пока не приводят к массовым эпидемиям и быстро нейтрализуются компаниями-разработчиками продуктов для кибербезопасности. Например, вымогатель
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, обнаруженный прошлым летом, был немедленно блокирован. Зловред распространялся под видом программы Transmission (BitTorrent-клиент) и использовал легальный цифровой сертификат, который был оперативно отозван Apple. Также в череде событий следует напомнить о появившемся
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
кроссплатформенном макро-вирусе, который впоследствии
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.
Последнее редактирование:
