El primer ransomware diseñado para apuntar a usuarios de computadoras Mac ha sido eliminado durante el fin de semana con una estrecha coordinación entre Apple Inc. y Palo Alto Networks.
Los investigadores de seguridad descubrieron que el malware de cifrado de archivos se sembró dentro de Transmission, una aplicación legítima de Bitcoin utilizada por muchos usuarios de Mac. Sin embargo, no estaba claro cómo los atacantes lograron cargar una versión de Transmission alterada en el sitio web de la aplicación.
Esta es la primera vez que los usuarios de Mac son el blanco de un ataque de ransomware. Por lo general, se centra en los usuarios de Windows. Los atacantes se han interesado tanto en Mac como en Windows, aunque la cuota de mercado de la informática de escritorio de Apple es relativamente menor que la de Windows.
Como lo conocemos, el ransomware se dirige a sus víctimas encriptando su computadora y los archivos que contiene antes de pedir a las víctimas que paguen un rescate en Bitcoin para recuperar sus archivos y el acceso a la computadora a través de una clave de descifrado.
El ransomware, llamado KeRanger, parece afectar a los usuarios de Mac que utilizan la versión 2.90 de la aplicación Bitcoin. Sería de gran ayuda si los usuarios de Mac actualizan su software Transmission a la versión 2.92, dijo Transmission en un aviso publicado en su sitio web. KeRanger está configurado para conectarse a un servidor de comando y control remoto tres días después de que se haya sembrado en una computadora Mac. Funciona para cifrar más de 300 tipos de archivos, solicitando un rescate de 1 Bitcoin, lo que equivale a $ 404.
Los atacantes han tenido la costumbre de comprometer aplicaciones legítimas como Transmission, por lo que el ataque, aunque fue el primero en su intento de apuntar al ecosistema Mac, no es una sorpresa.
La versión manipulada de Transmission parecía ser una aplicación legítima porque estaba firmada con un certificado de desarrollador de Apple, lo que ayuda a evitar el Gatekeeper de Apple. Significa que las víctimas no pueden recibir una advertencia de que la aplicación es dañina porque la configuración de seguridad de un usuario de Mac permite automáticamente descargar aplicaciones de desarrolladores identificados de Apple.
Apple se apresuró a revocar el certificado de transmisión siguiendo el aviso de Palo Alto Networks y actualizó su motor antivirus llamado XProtect.
Los productos de software antivirus habituales no detectan inmediatamente las amenazas de ransomware, ya que este esquema se actualiza constantemente para eludir los métodos de detección proporcionados por los proveedores de seguridad. La mejor manera de contrarrestar los ataques de ransomware es hacer una copia de seguridad de sus archivos en un sistema aislado para que sea inaccesible a los ataques una vez que su computadora esté infectada. Un peligro aún más grave surge cuando un ransomware puede apuntar a su unidad de respaldo, como en el caso de Time Machine de Apple.
