viernes, 4 de agosto de 2017

Más pruebas de la existencia del ransomware para Mac


Lo llevamos diciendo desde hace tiempo, el malware para Mac es menos habitual que el que tiene como objetivo Windows, pero esto no significa que no existan amenazas.
En las predicciones de SophosLabs para este año, incluíamos malware para Mac creado para recopilar datos, acceder encubiertamente a los equipos y ransomware.
El ransomware para Mac ya existía con el malware OSX/Filecode-K y OSX/Filecode-L. Ahora surge un nuevo caso con OSX/Ransom-A. Se trata de un caso de ransomware-como-servicio (RaaS) para Macs, que es popularmente conocido como MacRansom.

¿Cómo funciona?

Este ransomware no circula por Internet. Los que quieran testarlo deben contactar a sus creadores a través de una dirección de correo electrónico segura de ProtonMail. SophosLabs ha obtenido un ejemplo y hemos realizado las siguientes observaciones.
Cuando se instala por primera vez el malware OSX/Ransom-A, no aparecerá ninguna ventana pidiendo una contraseña. El malware se instala silenciosamente sin levantar sospechas.
OSX/Ransom-A se copia a sí mismo en una carpeta llamada “~/Library/.FS_Storage”, escondiéndose, efectivamente, a plena vista (el nombre de la carpeta ~/ es un atajo de Unix para referirse a la carpeta de inicio del usuario).
La carpeta “Library” se usa en macOS para almacenar decenas de ficheros de configuración en sus correspondientes carpetas, por lo que es un lugar perfecto para que el malware se disfrace como contenido inofensivo.
En macOS, que tiene como base Unix, los ficheros y carpetas que comienzan por un punto, son invisibles a las búsquedas por defecto, por lo que es fácil que nunca detectes la carpeta “.FS_Storage”.
Incluso si te das cuenta de la presencia de esta carpeta, su nombre puede que te engañe ya que es muy parecido a “.DS_Store”, una carpeta usada por macOS que puede que conocieras anteriormente.
Una vez activado, OSX/Ransom-A sigue el proceso habitual de cifrado de ficheros y demanda de pago de rescate para obtener la clave necesaria para recuperar la información.
Es de destacar que este malware comienza su trabajo por la carpeta “Volumes”, que es donde se encuentran todos los discos duros vinculados al ordenador, incluidas las copias de seguridad de Time Machine, los USB u otros dispositivos de almacenamiento que tengas conectados.
En otras palabras, si normalmente dejas los discos de tus copias de seguridad enchufados en el ordenador, también estarán expuestas a malware de este tipo, por eso siempre recomendamos almacenar las copias de seguridad offline y offsite.

¿Ahora qué?

MacRansom es una prueba que los ciberdelincuentes están trabajando en maneras de atacar a los usuarios de Mac. Deberíamos tomarnos esto como un ejercicio, por lo tanto os ofrecemos los siguientes consejos.