Første gissel-trussel mot Mac
Apple skal ha lykkes i å blokkere det første gisselangrepet mot Mac-brukere – altså krav om løsepenger mot å dekryptere data.
«Ransomware» er det engelske faguttrykket for å beskrive hvordan kyberkriminelle krypterer brukeres data og forlanger løsepenger for å dekryptere dataene, slik at brukerne kan få tilgang til dem igjen.
Problemet har vært kjent siden 1989, og de som er blitt angrepet – inkludert norske bedrifter, offentlige etater og nettbrukere – har opp gjennom årene betalt mange millioner dollar til skurkene for å få tilbake dataene sine.
Trojaneren Cryptolocker er kanskje den mest kjente gisseltakeren, men det finnes mange andre.
Til aksjon
Mac-brukere har vært spart for ransomware-angrep frem til nå, men sist helg måtte Apple gå til aksjon mot det som omtales som det første antatte Apple-fokuserte gisselangrepet. Til nå er det Windows-brukere som er blitt plaget mest.
Det var sikkerhetsselskapet Palo Alto Networks som slo alarm. Selskapet varslet at det hadde funnet ransomware-koden «Keranger» i programmet Transmission, som er en gratis og helt legitim Bittorrent-klient for Mac.
Ifølge Palo Alto Networks ble Apple varslet fredag og sørget umiddelbart for å gjøre det berørte sikkerhetssertifikatet ugyldig. Sertifikatet var et legitimt utviklersertifikat fra Apple.
Samtidig ble antivirusmotoren Xprotect oppdatert.
Skadelig kode i troverdig programvare
Det er fortsatt uklart hvordan angriperne greide å laste opp en virusinfisert versjon av Transmission-programmet til nedstedet man laster det ned fra, skriver amerikanske Macworld. Men det å snike inn koden i anerkjent programvare er en hyppig brukt metode.
I dette tilfellet var det de som hadde lastet ned versjon 2.90 av Transmission som kom i faresonen, og utgiveren av programvaren la ut en melding på sitt nettsted om at disse umiddelbart måtte oppgradere til versjon 2.92.
Keranger-koden fungerer som en trojaner som ligger i ro på infiserte maskiner i tre døgn før den kobler maskinen opp mot en kommando- og kontrollserver via Tor-nettverket. Hvis koden får herje uforstyrret, kan den kryptere mer enn 300 filtyper.
Det ser også ut til at Keranger prøver å kryptere backup-filer på Apples Time Machine-sikkerhetskopisystem, ifølge Palo Alto Networks.
Økende problem
Ransomware-angrep har altså eksistert lenge og har i første rekke rammet forbrukere, men nå blir i økende grad bedrifter og institusjoner angrepet. For ikke lenge siden ble det kjent at et sykehus i Los Angeles hadde betalt 17.000 dollar (nesten 145.000 kroner) i løsepenger for å få tilbake full tilgang til pasientjournalene.
Begrunnelsen for at sykehuset gikk med på å betale løsepenger, var at det var den raskeste og mest effektive måten å få tilbake kontrollen på.
Kyberkriminelle med gissel-ambisjoner har i senere tid begynt å utvise større interesse enn før for Apple-plattformen, og flere sikkerhetseksperter har i det siste lagt ut informasjon som skal vise at det er lett å få i stand ransomware-angrep også mot Mac-brukere, skriver amerikanske Macworld.