image

Ransomware-as-a-Service voor macOS ontdekt

zaterdag 10 juni 2017, 14:14 door Redactie, 7 reacties

Onderzoekers van beveiligingsbedrijf AlienVault en Fortinet hebben een Ransomware-as-a-Service (RaaS) voor macOS ontdekt genaamd MacRansom, wat mogelijk de eerste keer is dat cybercriminelen een dergelijke dienst voor Apples platform aanbieden. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat.

Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. MacRansom gebruikt symmetrische encryptie met zogeheten hardcoded encryptiesleutels om bestanden te versleutelen. Volgens de onderzoekers is deze macOS-ransomware niet zo geraffineerd als andere ransomware-exemplaren die eerder voor de Mac verschenen. Daarnaast zijn versleutelde bestanden niet meer te ontsleutelen zodra de malware op het systeem wordt gestopt. Een van de gebruikte encryptiesleutels wordt dan uit het geheugen verwijderd wat het veel lastiger maakt om een decryptietool te ontwikkelen, aldus de onderzoekers.

Ook beschikt de ransomware niet over een mogelijkheid om met een controleserver te communiceren en zo een kopie van de encryptiesleutel uit te wisselen. Rommel Joven, een van de onderzoekers, is dan ook sceptisch of de ontwikkelaar de bestanden wel kan ontsleutelen. Voor het ontsleutelen wordt een bedrag van 0,25 bitcoin gevraagd, wat op dit moment 640 euro is.

"Het gebeurt niet elke dag dat we ransomware voor macOS zien. Ook al is het inferieur ten opzichte van de meeste ransomware voor Windows, het versleutelt de bestanden van slachtoffers en voorkomt toegang tot belangrijke bestanden, en veroorzaakt zodoende echte schade", concludeert Joven, die gebruikers adviseert om back-ups te maken en voorzichtig te zijn bij het openen van software van onbekende bronnen of ontwikkelaars.

Reacties (7)
10-06-2017, 20:22 door [Account Verwijderd]
[Verwijderd]
10-06-2017, 20:40 door Anoniem
Door Clarence322: Nou, Linux-adepten, Microsoft-fanboys, OS/2-aanhangers en Apple-only-men: ook OS X / macOS is dus niet absoluut veilig. En dat betekent dus echt dat de hardware tussen toetsenbord/muis en scherm (lees: de mens) toch echt de minst betrouwbare schakel is.

En dan nu de vraag hoe lang het nog duurt eer de eerste ransomware voor macOS uitbreekt...
Er is nooit beweerd dat Linux en OSX absoluut veilig zijn. Dat zijn uw woorden, niet de onze.
10-06-2017, 21:52 door Briolet
Door Clarence322: ook OS X / macOS is dus niet absoluut veilig.

Dat kun je op grond van bovenstaand verhaal nog niet concluderen. Het is namelijk nog open gelaten hoe dit op de mac moet komen.

Als de installatie via een proces gebeurd, waarbij de gebruiker de firewall zelf open zet, heeft dit niets meer met de veiligheid van een OS van doen. Dan is het gewoon de gebruiker die een programma toestemming geeft om zijn gang te gaan.
10-06-2017, 22:55 door [Account Verwijderd]
[Verwijderd]
10-06-2017, 23:20 door Anoniem
Virussen schrijven doe je voor de massa. Wat mij betreft is de schijnveiligheid van de andere producten in stand gehouden omdat het niet interessant is een klein marktaandeel te zien als volwaardig winstgevend target (OSX). Slimme actie want ondanks het enigzins beperkte martkaandeel is deze groep wel bekend met fors betalen. Hiermee valt dan ook de schijnveiligheid weg en dat komt hopelijk dan weer ten goede aan de kwaliteit van het product.
11-06-2017, 09:19 door Briolet
Door Clarence322: Kijk ik naar hoe bijvoorbeeld Transmission geïnfecteerd is geraakt is dit een aannemelijk scenario. Dat is maar één van de vele aanvalsvectoren die gebruikt kunnen worden.

Het klopt dat als legitieme software bij de bron besmet raakt, je eigenlijk geen mogelijkheid hebt om kwaad te vermoeden.

Gelukkig kan ik niet wakker van liggen van ransomeware op de mac. Bij een defecte disk ben je ook alles kwijt, dus behoor je al een goede backup te hebben. Ik had vorig jaar ook een paar diskproblemem waardoor ik een paar keer alles uit de backup terug gezet heb. Via TimeMachine had ik alles met 10 minuten werk weer terug gezet. (De dataoverdracht zelf duurde natuurlijk langer). Dat bleek een disk met smart-errors te zijn. Alleen duurde het even voordat ik door had dat de disk aan vervanging toe was.

Apple heeft TimeMachine in 2005 aan hun OS toegevoegd. Dat maakt backuppen zo simpel dat Apple gebruikers procentueel het meest backupten. Al bij het aansluiten van een usb disk vraagt het OS of hij hier een backupdisk van moet maken. Zolang ransomeware nog van de backup afblijft, is er niets aan de hand. Hoewel een externe HD wel redelijk toegankelijk lijkt voor ransomeware. Zelf backup ik alles via het ethernet. Die gemounte shares zijn niet zichtbaar vanuit een useraccount. Dan moet de zelf geïnstalleerde ransomeware ook nog ergens root-rechten zien te krijgen om bij de backup te komen.
11-06-2017, 21:54 door Anoniem
Door Clarence322: Nou, Linux-adepten, Microsoft-fanboys, OS/2-aanhangers en Apple-only-men: ook OS X / macOS is dus niet absoluut veilig.
Je kan de klok, in ieder geval bij benadering de datum gelijk zetten op het standaard verschijnen van dit soort lulkoek.
Discussies naar het absolute trekken is onzinnig en vrijwel alleen functioneel om discussies te verstoren.

En dat betekent dus echt dat de hardware tussen toetsenbord/muis en scherm (lees: de mens) toch echt de minst betrouwbare schakel is.
Een probleem is er als het zich ook daadwerkelijk voordoet.
In software land als het probleem zich veelvuldig voordoet.

En hey, het doet zich nauwelijks voor, het probleem is er dus nog steeds niet zo.
Het probleem zit vooral in de koppies die graag willen dat het probleem zich voor Mac OS X manifesteert.
Teleurstellend helaas voor die wensdromerts.

En dan nu de vraag hoe lang het nog duurt eer de eerste ransomware voor macOS uitbreekt...
Dat is geen vraag want die is er al.
De vraag is heel misschien wanneer de eerste succesvolle ransomware uitbreekt.

Maar dit bericht kan je ook anders lezen en er een terechte andere slimmigheid uithalen.
Als het nou zou moeilijk is om ransomware of andere malware goed werkend op een systeem te krijgen, dat wil zeggen zonder de actieve medewerking van de eigenaar van die computer, dan moet je iets anders verzinnen.
Dan kan je je verdiepen in social engineering tactieken maar dan nog steeds moet je diverse security hobbels onder OS X nemen.

Of je kan, heel slim, je richten op een dienst en het probleem dat je hebt overlaten aan een ander, lees; wel cashen maar het probleem op het bord van een ander leggen.
Want dat is het slimme aan het idee, je biedt een zogenaamde service maar je laat de feitelijke kern van malware, het besmettingsproces aan een ander over.
En wat is nou een flinke hobbel om te nemen op die mac?
Juist, het besmettingsproces.

De social engineering verplaatst zich van het eindslachtoffer naar het 'tussenslachtoffer' namelijk de tussencrimineel die erin trapt en deze software koopt/afneemt.
Leuke ontwikkeling dus, criminelen die zich richten op het geld afhandig maken van andere criminelen.
Nou ja criminelen,.. kutjochies (af te leiden uit de voorbeeldtekst wie te targeten; 'klasgenoten??)
Kutjochies die 'een stukje opvoeding hebben gemist' en helaas net te slim zijn om vrijwillig een uurtje tegen schrikdraad aan te pissen.
Zouden ze schrikdraad hebben in timezone -4, misschien ook niet.
Dubbel jammer dan.

Al met al bewijst deze nieuwe aanpak vooral een copycat houding en een bewijs van het besef dat MacOs nog steeds lastig zomaar te infecteren is.
Niet onmogelijk maar in ieder geval lastig zonder medewerking van de eigenaar.
Wat doe je dan?
Dan biedt je een deel van je foute-app-code (want malware is uiteindelijk gewoon foute software) aan anderen aan die het verder mogen oplossen.
Prachtig, je hoeft het probleem niet zelf op te lossen en verdient er toch zelf geld mee.

Wat minder prachtig is is wellicht het feit dat de straffen hoger zullen zijn als je gepakt wordt want feitelijk ben je nog fouter bezig dan een enkele malware verspreider, je bent immers fasciliteerder voor vele criminelen.
Hoe het ook zij, zolang er onder de klanten geen genie zit, loopt deze service niet zo'n vaart.
En Apple zit zelf natuurlijk ook niet stil.
Al gezien dat xprotect pas weer een update had gehad?

Laat je niet gek maken maar houdt je ogen open.
Als het echt zover is zal het ruim in het nieuws komen, daar hoeft echt deze site niet voor te volgen.
Tot die tijd is als vooral veel verbrande stinkende turf, poeha om niets.

Maar een beetje poeha kan op zich niets eens zoveel kwaad om een andere reden, en dat is namelijk om gebruikers over te halen back-ups te maken.
Dat doen op zich al best veel gebruikers maar nog lang niet allemaal.
Jammer want back-ups maken en terugzetten is op een mac bijzonder eenvoudig en bijzonder fijn als je hd het begeeft, want daar zit een veel grotere dreiging, ook mac hardware kan het begeven.
Maak je daar drukker om dan om malware en zorg dat als het zich voordoet dat je een back-up hebt.

Beentjes op de grond (geld ook voor de onzinnige bangmakers hier die nuchtere gebruikers voor fanboys uitmaken, das echt gelul en zonde van de security discussie die daardoor vaak al bijvoorbaar strandt).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.