KeRanger è il primo ransomware per Mac scoperto all’interno di Transmission, un famoso software che permette di connettersi alle reti BitTorrent. Fino a qualche tempo fa si pensava che i sistemi informatici di Apple fossero esenti da virus o altre tipologie di minacce, ma adesso i cybercriminali hanno imparato a sfruttare le falle di internet per infiltrarsi anche all’interno del sistema operativo dell’azienda di Cupertino e per compiere gli stessi danni causati agli utenti Windows.

I ricercatori dell’azienda di sicurezza Palo Alto Networks hanno scoperto KeRanger, un malware che potrebbe far parte della prima campagna di ransomware verso il mondo Mac. Ad oggi, i ransomware sono una delle minacce più diffuse visto che per i cybercriminali è una modalità di attacco che utilizza l’ingegneria sociale.

Infatti, il ransomware è una tipologia di malware modificato che ha come scopo quello di bloccare l’utilizzo del computer, chiedendo un riscatto per la sua rimozione. In Italia, questa metodologia di attacco ha colpito migliaia di persone che si sono ritrovate di fronte ad una schermata fasulla della Guardia di Finanza, che avvertiva della sospensione del computer a causa della navigazione su siti pedo-pornografici, con tutte le indicazioni per il pagamento di una multa di 100 euro per riattivare il sistema. Allo stesso tempo, un altro ransomware si è fatto spazio ovvero il cryptolocker. Quest’ultimo ha causato tantissimi danni ad aziende e utenti, dal momento che riesce a criptare i file conservati sull’hard disk, rendendoli di fatto illeggibili. Come è possibile comprendere, i ransomware sono una metodologia di attacco estremamente profittevole e che con pochi sforzi permette al cybercriminale di ottenere ingenti profitti.

Come già detto, KeRanger rientra in quest’ambito ed è il primo ransomware completo per Mac. In particolare, questo nuovo malware ha infettato il Mac di molti utenti visto che era presente all’interno della versione originale Transmission 2.90, scaricabile dal sito web ufficiale.

Una volta presente sul computer, il ransomware KeRanger entrava in azione dopo tre giorni e si connetteva, automaticamente, ai server command-and-control sulla rete Tor. A questo punto, KeRanger iniziata a cifrare tutti i documenti sul Mac sfruttando chiavi AES e RSA.

Gli utenti coinvolti da KeRanger sono solamente coloro che hanno scaricato Transmission tra le 11:00 PST del 4 marzo e le 7:00 PST del 5 marzo. Tuttavia, per risolvere questa importante problematica, Apple ha revocato il certificato fasullo ed aggiornato l’antivirus XProtect. Transmission Project, invece, ha aggiornato la propria applicazione alla versione 2.92.