Stenger for utpressingsvare på Mac
Nytt verktøy hindrer utpresserne i å kryptere disken på en Mac. Så lenge det varer.
Utpressingsvare, et dataangrep som krypterer innholdet av disker, både lokalt og på nettverket, er en stadig mer populær angrepsform blant de datakriminelle. Det er kanskje ikke så rart, siden det viser seg at svært mange velger å betale løsepengene for å få dataene sine tilbake, i stedet for å ignorere utpressingen og rekonstruere dataene fra sikkerhetskopien.
Nå har en sikkerhetsforsker lansert gratisverktøyet RansomWhere? for Mac OS X, som skal oppdage utpressingsvare som forsøker å kryptere filer på Mac-en, og deretter blokkere aktiviteten før skaden rekker å skje.
Stanser krypteringen
Verktøyet overvåker brukerens hjemmeområde på disken, og oppdager når krypterte filer dukker opp i raskt økende antall der; et klart tegn på at utpressingsvare er i aksjon. Når slik aktivitet blir oppdaget, finner RansomWhere? ut hvilken prosess som står bak, og suspenderer den.
For å redusere antallet falske positiver – legitime krypteringsprosesser som detekteres som utpressingsvare – har verktøyet en hvitliste, der alle applikasjoner signert av Apple finnes, og mesteparten av de som allerede finnes på systemet når RansomWhere? blir installert.
Dette betyr at for å fungerer etter hensikten må verktøyet installeres på et system som ikke allerede er infisert med utpressingsvare. Verktøyet vil heller ikke fungere dersom utpressingsvaren på et senere tidspunkt infiserer maskinen ved å overta eller injisere kode inn i Apple-signerte programmer som deretter brukes til å kryptere filene.
Når RansomWhere? suspenderer en krypteringsprosess, gir den brukeren muligheten til å velge om prosessen får lov til å fortsette eller om den skal avsluttes. Dette gir brukeren en mulighet til å hvitliste legitim krypteringsprogramvare som vedkommende kjenner og stoler på.
Kan omgås
Selv om dette produktet er bra på å stanse generell og opportunistisk utpressingsvare, gir det ikke perfekt beskyttelse, og det loves heller ikke 100 prosent detekteringsrate. Først og fremst vil ikke RansomWhere? slå inn før utpressingsvaren har begynt å kryptere filer. Derfor vil noen få filer bli kryptert før prosessen holdes, men antallet krypterte filer forventes å være ensifret.
Utvikleren av RansomWhere, utviklingssjef Patrick Wardle i sikkerhetsselskapet Synack, peker også på begrensningene i en bloggpost etter lanseringen av produktet.
«RansomWhere? ble designet som et generelt mottiltak mot utpressingsvare på OS X. Enkelte designbeslutninger ble imidlertid bevisst gjort, for understøtte pålitelighet, enkelhet og ytelse. Disse beslutningene kan påvirke deteksjonsevnen til produktet. Først og fremst er det viktig å forstå at beskyttelsen til et hvert sikkerhetsverktøy lar seg omgå dersom angrepet rettes direkte mot verktøyet. Med det mener jeg å si at ny OS X utpressingsvare som er designet for å omgå RansomWhere? vil antakelig lykkes», skrev Wardle.
Større konkurranse
Fram til helt nylig har utviklerne av utpressingsvare nesten utelukkende rettet seg mot Windows, men dette har begynt å endres. Det finnes allerede varianter om retter seg mot Linux-baserte webservere, og sikkerhetsforskerne har også lagd «proof-of-concept»
utpressingsvare for OS X, for å bevise at plattformen lar seg infisere.
I februar i år fant sikkerhetsforskere et nytt utpresssingsprogram til salgs i forumene til de datakriminelle, som hadde versjoner for både Windows og Mac. I mars ble det oppdaget Mac-brukere som ble angrepet av KeRanger-programmet, den første Mac OS X utpressingsvaren som har vært observert ute i det fri.
Etter hvert som konkurransen mellom utviklerne av denne skadevaren intensiveres, vil antakelig mange av dem diversifisere ut på nye plattformer for å finne nye ofre. Da vil Mac-brukere selvsagt også være attraktive mål.
