Alcuni ricercatori di sicurezza hanno scoperto un nuovo ransomware per Mac, in grado di crittografare i file dell’utente e di chiedere un pagamento per poterli sbloccare. La cifratura rende impossibile decriptare i file senza pagare il riscatto.
Il ransomware in questione si chiama Patcher e sta girando sui siti di BitTorrent sotto forma di file per completare l’installazione di Microsoft Office 2016 o di Adobe Premiere Pro. In pratica, solo scaricando questi file da BitTorrent (per altro illegali, visto che si tratta di software a pagamento) c’è il rischio di lanciare Patcher e di infettare il Mac. Il Patcher viene camuffato da software che bisogna lanciare per “crackare” Office o Premiere Pro scaricati in precedenza.
Una volta lanciato il Patcher, il ransomware inizia a crittografare tutti i file presenti sul Mac, utilizzando una chiave di 25 caratteri generata a caso. Per poter sbloccare i file, bisogna pagare 0,25 bitcoin (circa 2400 euro) ad un indirizzo wallet specifico. Il malware è stato realizzato tramite Swift.
Tra l’altro, un recente studio conferma che la diffusione dei ransomware continuerà ad aumentare in modo esponenziale e nel 2017 i criminali raccoglieranno almeno 5 miliardi di dollari, in quanto arriveranno nuove famiglie di ransomware anche su macOS.
I criminali del ransomware continueranno a raccogliere profitti rischiando sempre meno di essere catturati, rendendolo così lo schema malware più popolare al mondo. I fornitori di endpoint security continueranno a cercare di resistere in una corsa agli armamenti già persa con questi “ragazzacci” high-tech sempre meglio finanziati.
Le tecniche di infiltrazione e propagazione dei ransomware diventeranno sempre più minacciose e intelligenti. La fine del 2016 ha visto il debutto di uno dei più ingegnosi schemi di propagazione dei ransomware, nel quale ad una vittima viene offerto gratuitamente il codice di decodifica a condizione che riesca a infettare altri due utenti. Gli schemi di phishing rimarranno il vettore di attacchi ransomware più popolari, e diventeranno ancora più personalizzati.
Per una maggiore sicurezza, il cloud rappresenta un buon rifugio per il salvataggio di backup e proteggersi dagli attacchi ransomware che si propagano attraverso connessioni in area locale. Nel 2017, nuove varianti di ransomware saranno in grado di sfruttare le connessioni cloud per attaccare anche istanze di backup basate sul cloud. Gli utenti dovranno trovare cloud provider in grado di difenderli da questi attacchi.
Chi crea questi ransomware sta ideando anche nuove tecniche. Tra queste, vi è quella di aumentare l’importo del riscatto e cancellare i file per ogni ora in più che la vittima impiega per pagare. In futuro, le varianti di ransomware diventeranno ancora più pericolose, minacciando di estrarre ed esporre informazioni sensibili (dati medici e finanziari) o imbarazzanti (cercando fra cronologie e fotografie private) se la vittima non paga in fretta.
Inizialmente, sempre più vittime saranno disposte a pagare i riscatti, ma questa tendenza diminuirà man mano che diventerà chiaro che molti criminali in genere non mantengono la promessa di fornire i codici di decodifica in cambio del pagamento e che riprendersi da un attacco non impedisce alla vittima di essere aggredito altre volte.