Un nuovo malware ransomware attacca gli utenti Apple

28 Mag 2014

UPDATE: Notizia aggiornata con l’aggiunta della testimonianza di Christian Funk

Un nuovo ransomware sta attaccando gli utenti Apple, principalmente in Australia. Pare che agli utenti colpiti dal ransomware sia apparso sullo schermo un messaggio che diceva che per sbloccare il dispositivo avrebbero dovuto pagare 50 o 100 dollari.

Secondo i report, gli utenti si sono resi conto di questa infezione ieri, in prima mattinata, in seguiti all’allarme lanciato da “Find my iPhone” dei loro dispositivi iOS e OSX. Il messaggio che appariva sullo schermo dei loro telefoni diceva: “Hacked by Oleg Pliss. For unlock YOU NEED send voucher code by 100 $/eur one of this (Moneypack / Ukash / PaySafeCard) to helplock@gmx.com I sent code 2618911226″, che in italiano si potrebbe tradurre con “Hackerato da Oleg Pliss. Per sbloccare DEVI INVIARE a helplock@gmx.comun voucher con codice dell’importo di 100 $/€ attraverso uno dei seguenti servizi: Moneypack, Ukash, PaySafeCard. Codice: 2618911226″.

Non è chiaro come gli hacker siano riusciti a compromettere questi dispositivi, tuttavia si pensa che abbiano forzato l’accesso dell’account iCloud degli utenti per sfruttare i telefoni.

L’esperto di Kaspersky Lab, Christian Funk, ha dato man forte a questa tesi, affermando che da un paio d’anni a questa parte i criminali hanno impiegato attacchi di phishing per compromettere gli Apple ID. Inoltre, Funk ha sottolineato come in un’altro articolo di Securelist della scorsa estate un altro ricercatore di Kaspersky Lab abbia spiegato che gli hacker potrebbero lanciare campagne ransomware contro i dispositivi iOS e Mac accedendo agli account iCloud.

Non è poi del tutto chiaro chi sia Oleg Pliss e se si tratta di una persona vera.

I ransomware sono un tipo di malware che bloccano i dispositivi e chiedere il pagamento di una somma di denaro a cambio dello sblocco. A volta, il malware non fa altro che rendere il dispositivo inservibile, piazzando al suo interno una sorta di blocker, che blocca il funzionamento del computer o le sue applicazioni e programmi. In altre parole, come nel caso del Cryptolocker, il ransomware cripta file importanti all’interno del computer infetto e chiede, a cambio delle chiavi che decripterebbero questi file, il pagamento di una determinata somma di denaro.

Pagare il ransom (riscatto, da qui ransomware) è in genere sconsigliato. Questo perché non si ha mai la certezza che il criminale invierà davvero le chiavi di decriptazione. Questa è una delle ragioni per cui raccomandiamo sempre di realizzare dei backup regolari dei vostri dati. Se avete salvato una copia dei vostri dati su di un hard disk esterno o su di un servizio cloud, potreste formattare il compter e reinstallare il sistema operativo.

Secondo il giornale australiano, Sydney Morning Herald, gli utenti iPhone degli stati del Queensland, Nuovo Galles del Sud, Australia Occidentale, Australia Meridionale e Victoria sono quelli che sono stati attaccati dal malware, mentre altri report affermano che sono stati colpiti anche utenti residenti in Nuova Zelanda. Al momento, sembra che America e Europa non siano stati interessati dal problema, sebbene non ci sorprenderebbe sapere che il ransomware si sta diffondendo anche in questi continenti.

Come ha osservato Chris Brook di Threatpost.com, i recenti attacchi ai danni di Adobe e eBay, hanno portato al furto di molte password criptate. Se queste password sono state, in seguito, decriptate (e gli utenti le usavano per accedere anche ad altri servizi), potrebbero essere state utilizzate in attacchi di forza bruta, grazie ai quali accedere agli account online iCloud. In altre parole, il problema interesserebbe quegl’utenti che utilizzavano la stessa password. Non è chiaro se ci sia una reale connessione tra questi “hackeraggi”. Tuttavia, in passato, il furto e perdita di password (conosciute e sconosciute) ha portato un po`ovunque a violazioni di altri account online.

Se l’attacco si basava sull’accesso all’account iCloud, attivare l’autenticazione a due fattori avrebbe rappresentato un grande aiuto. Ora, infatti, sarebbe il momento giusto per attivare il doppio fattore di autenticazione per il tuo account iCloud. Qui sotto, potete trovare un video (in inglese) che vi mostra come farlo.