Ransomware sur Mac : quels sont les risques ?

« C’est le premier ransomware sur Mac OS vraiment fonctionnel ; il chiffre vos fichiers et demande une rançon », a déclaré Ryan Olson, directeur du renseignement sur les menaces chez Palo Alto, lors d’un entretien téléphonique avec Reuters, cité par The Guardian. Un représentant d'Apple a déclaré, le week-end suivant son apparition, que l’entreprise avait pris les mesures nécessaires pour endiguer sa propagation, en révoquant notamment le certificat numérique de développeur Mac légitime  qui autorise l’installation du logiciel malveillant.

Comment les cybercriminels ont-ils procédé ?

En regardant de plus près le code source, on remarque beaucoup de similitudes avec Linux.Encoder, un ransomware qui a infecté des milliers de serveurs Linux depuis le début de l’année 2016.

Analyse du code source de KeRanger

Depuis la version 10.8 Mountain Lion, Mac OS X est livré avec une fonction de sécurité appelée Gatekeeper. Elle permet de restreindre les sources à partir desquelles les utilisateurs peuvent installer des applications afin de minimiser les risques d’infection. Par défaut, Gatekeeper n’autorise que les applications provenant de l’App Store ou de développeurs légitimes et identifiés par Apple (via une signature numérique).

Pour contourner Gatekeeper, les cybercriminels ont signé numériquement une mise à jour de Transmission, un logiciel de partage BitTorrent. Selon Apple, c’est bien un de leurs certificats qui a été utilisé. Le développeur incriminé est une société turque possédant l’identifiant Z7276PX673, différent de celui qui signait les précédentes versions de Transmission. Ce n'est pas la première fois que les cybercriminels réussissent à passer au travers de la protection Gatekeeper en utilisant des certificats numériques légitimes : en 2013, une backdoor signée avec un certificat numérique ayant été compromis (MAC.OSX.Backdoor.KitM.A) a été découverte sur les ordinateurs appartenant à des militants pour les droits civils angolais.

Une fois que le programme infecté est exécuté, le malware se connecte à un serveur C&C via le réseau TOR et récupère une clé de chiffrement. Après avoir chiffré tous les fichiers, le ransomware KeRanger crée un fichier appelé README_FOR_DECRYPT.txt. Ce dernier indique les étapes à suivre par la victime  pour payer la rançon et récupérer les fichiers chiffrés.

« Comme nous l’avions anticipé cette menace s’est diffusée à de nouvelles plateformes,  les fonctions de chiffrement sont similaires et ont les mêmes noms que celles présentes dans Linux.Encoder : encrypt_file, recursive_task, currentTimestamp et createDaemon pour n’en citer que quelques-uns. Le processus de chiffrement est donc identique dans ces deux ransomwares », explique Catalin Cosoi, Responsable de la Stratégie de Sécurité chez Bitdefender.

Déconstruction du Linux.Encoder

Vers le développement d’extortionware sur Mac ?

Le ransomware visant Mac OS avait été cité comme l’une des menaces majeures dans la liste des tendances en cybercriminalité pour 2016par Bogdan Dumitru,  Directeur Technologique de Bitdefender.

«  Les ransomwares constituent probablement la menace la plus tenace pour les internautes depuis 2014, et restera l’une des tendances les plus importantes en 2016 », prévient Bitdefender. « Alors que certains malwares préfèrent l'approche du chiffrement de fichiers, certains groupes de cybercriminels, plus novateurs, se concentreront sur le développement d’ « extortionware » (un logiciel malveillant qui bloque l’accès aux comptes de services en ligne ou qui expose les données et fichiers personnels aux yeux de tous sur Internet). Courant 2016, les ransomwares de chiffrement de fichiers s’étendront probablement à Mac OS X. »
L'année dernière, différents rapports ont montré que des millions d'utilisateurs ont été victimes de la version 3.0 de CryptoWall (dont beaucoup de cas non répertoriés), un malware qui a rapporté près de 315 millions d’euros aux cybercriminels.

À retenir

Il y a six mois, les ransomwares étaient une menace qui visait uniquement les utilisateurs Windows et Android. En décembre dernier, le tout premier échantillon de ransomware visant Linux a été repéré en circulation après le chiffrement de milliers de serveurs Web.
Les chercheurs Bitdefender ont pu contourner l'algorithme de chiffrement et fournir des outils de déchiffrement pour les quatre variantes existantes. Il semble que les développeurs responsables du malware Linux.Encoder l’ont soit étendu à Mac OS X, soit ont transmis leur code à un groupe de cybercriminels spécialisé dans les attaques ciblant Mac OS X.

« Il convient de souligner que rien ne remplace une solution de sécurité complète et conçue pour Mac OS X en complément d’une attitude prudente lors de la réception de messages ou de pièces jointes venant de personnes inconnues en particulier. Les technologies de détection comportementale protègent en temps réel les utilisateurs de MacOS X contre les infections. Protéger de façon proactive est bien plus efficace que simplement interdire les logiciels non signés » conclut Catalin Cosoi.

 Les solutions de sécurité telles qu’Antivirus for Macde Bitdefender offrent une protection absolue contre les menaces nouvelles et inconnues, sans ralentir votre Mac. Bitdefender Antivirus for Mac utilise des technologies avancées basées sur le Cloud de Bitdefender pour détecter instantanément les nouvelles menaces et les bloquer.