DATANAPPER ALT: Skadevare som krypterer datalager rammer PC-er uavhengig av OS. Foto: Pixabay

DATANAPPER ALT: Skadevare som krypterer datalager rammer PC-er uavhengig av OS. Foto: Pixabay

Første gissel-trussel mot Mac

Apple skal ha lykkes i å blokkere det første gisselangrepet mot Mac-brukere – altså krav om løsepenger mot å dekryptere data.

«Ransomware» er det engelske faguttrykket for å beskrive hvordan kyberkriminelle krypterer brukeres data og forlanger løsepenger for å dekryptere dataene, slik at brukerne kan få tilgang til dem igjen.

Problemet har vært kjent siden 1989, og de som er blitt angrepet – inkludert norske bedrifter, offentlige etater og nettbrukere – har opp gjennom årene betalt mange millioner dollar til skurkene for å få tilbake dataene sine.

Trojaneren Cryptolocker er kanskje den mest kjente gisseltakeren, men det finnes mange andre.

Til aksjon

Mac-brukere har vært spart for ransomware-angrep frem til nå, men sist helg måtte Apple gå til aksjon mot det som omtales som det første antatte Apple-fokuserte gisselangrepet. Til nå er det Windows-brukere som er blitt plaget mest.

Det var sikkerhetsselskapet Palo Alto Networks som slo alarm. Selskapet varslet at det hadde funnet ransomware-koden «Keranger» i programmet Transmission, som er en gratis og helt legitim Bittorrent-klient for Mac.

Ifølge Palo Alto Networks ble Apple varslet fredag og sørget umiddelbart for å gjøre det berørte sikkerhetssertifikatet ugyldig. Sertifikatet var et legitimt utviklersertifikat fra Apple.

Samtidig ble antivirusmotoren Xprotect oppdatert.

Skadelig kode i troverdig programvare

Det er fortsatt uklart hvordan angriperne greide å laste opp en virusinfisert versjon av Transmission-programmet til nedstedet man laster det ned fra, skriver amerikanske Macworld. Men det å snike inn koden i anerkjent programvare er en hyppig brukt metode.

I dette tilfellet var det de som hadde lastet ned versjon 2.90 av Transmission som kom i faresonen, og utgiveren av programvaren la ut en melding på sitt nettsted om at disse umiddelbart måtte oppgradere til versjon 2.92.

Keranger-koden fungerer som en trojaner som ligger i ro på infiserte maskiner i tre døgn før den kobler maskinen opp mot en kommando- og kontrollserver via Tor-nettverket. Hvis koden får herje uforstyrret, kan den kryptere mer enn 300 filtyper.

Det ser også ut til at Keranger prøver å kryptere backup-filer på Apples Time Machine-sikkerhetskopisystem, ifølge Palo Alto Networks.

Økende problem

Ransomware-angrep har altså eksistert lenge og har i første rekke rammet forbrukere, men nå blir i økende grad bedrifter og institusjoner angrepet. For ikke lenge siden ble det kjent at et sykehus i Los Angeles hadde betalt 17.000 dollar (nesten 145.000 kroner) i løsepenger for å få tilbake full tilgang til pasientjournalene.

Begrunnelsen for at sykehuset gikk med på å betale løsepenger, var at det var den raskeste og mest effektive måten å få tilbake kontrollen på.

Kyberkriminelle med gissel-ambisjoner har i senere tid begynt å utvise større interesse enn før for Apple-plattformen, og flere sikkerhetseksperter har i det siste lagt ut informasjon som skal vise at det er lett å få i stand ransomware-angrep også mot Mac-brukere, skriver amerikanske Macworld.