Oprogramowanie żądające pieniędzy atakuje użytkowników urządzeń z systemem Apple

Użytkowników urządzeń z systemem Apple zaatakowało nowe oprogramowanie żądające okupu, póki co głównie w Australii. Zamiast standardowego ekranu odblokowania, na zainfekowanym urządzeniu podobno wyświetla się wiadomość informująca, że użytkownik musi

Użytkowników urządzeń z systemem Apple zaatakowało nowe oprogramowanie żądające okupu, póki co głównie w Australii. Zamiast standardowego ekranu odblokowania, na zainfekowanym urządzeniu podobno wyświetla się wiadomość informująca, że użytkownik musi zapłacić między 50 a 100 dolarów.

Według raportów użytkowników zaniepokoił fakt, że na ich urządzeniach z iOS i OSX włączył się alarm dźwiękowy funkcji „Znajdź mojego iPhone’a”. Po spojrzeniu na ekran telefonu użytkownicy zauważali wiadomość: „Hacked by Oleg Pliss. For unlock YOU NEED send voucher code by 100 $/eur one of this (Moneypack/Ukash/PaySafeCard) to helplock@gmx.com I sent code 2618911226”.

iOS_OSX-Ransomware

Nie wiadomo, w jaki sposób hakerom udało się włamać na te urządzenia, ale ogólny wniosek jest taki, że do wykorzystania samych telefonów atakujący wykorzystują najpierw dostęp do kont użytkowników w serwisie iCloud.

Ekspert z Kaspersky Lab, Christian Funk, potwierdził tę tezę mówiąc, że przestępcy zastosowali ataki phishingowe w celu uzyskania numerów Apple ID na kilka lat. Co więcej, Funk odesłał nas do artykułu w serwisie SecureList z zeszłego lata, w którym inny badacz Kaspersky Lab wyjaśnił, że atakujący mogli rozpocząć kampanię rozprzestrzeniającą szkodliwe oprogramowanie żądające okupu, przeznaczone na urządzenia iOS i Mac, wykorzystując dostęp do kont serwisu iCloud.

Nie jest także jasne, kto to jest Oleg Pliss, ani nawet czy taka osoba istnieje.

Oprogramowanie żądające okupu (ang. ransomware) to klasa szkodliwych programów, które blokują zainfekowany sprzęt i żądają jakiejś kwoty za odblokowanie go. W niektórych przypadkach szkodliwy program oddaje bezużyteczny komputer albo blokuje jakieś dane użytkownika lub jakąś aplikację. W innych – jak w przypadku CryptoLockera – szkodliwe oprogramowanie szyfruje ważne pliki na zainfekowanym sprzęcie i żąda opłaty za uzyskanie osobistego klucza umożliwiającego ich odszyfrowanie.

Ogólnie zapłacenie okupu nie jest dobrym pomysłem, ponieważ nigdy nie wiadomo, czy coś zostanie odszyfrowane. To jeden z powodów, dla którego zawsze zalecamy regularne tworzenie kopii zapasowych swoich danych. Jeśli masz aktualną kopię na zewnętrznym dysku twardym lub w jakiejś usłudze chmurowej, możesz wszystko przywrócić lub przeinstalować system operacyjny.

Według Sydney Morning Herald w ten sposób atakowani byli użytkownicy iPhone’ów w stanie Queensland, NSW, Australii Zachodniej, Australii Południowej i Wiktorii, natomiast według kilku innych raportów atak dotknął także osoby w Nowej Zelandii. Jak dotąd nie zarejestrowano zgłoszeń ze Stanów Zjednoczonych i Europy, ale nie będziemy zaskoczeni, gdy infekcja rozprzestrzeni się na inne kontynenty.

Jak zauważył Chris Brook na Threatpost.com, ostatnie ataki na Adobe, eBay i inne firmy pozwoliły przestępcom przechwycić hasła użytkowników. Jeśli komuś udało się je odszyfrować, a dodatkowo użytkownicy wykorzystywali je do kilku innych serwisów, z łatwością mogły został użyte w atakach siłowych w celu uzyskania dostępu do kont online – na przykład w iCloud. Muszę jednak podkreślić, że  zainfekowani użytkownicy musieli używać tych samych haseł w kilku miejscach. Nie wiadomo, czy istnieje jakieś powiązanie między tymi atakami, jednak kiedyś włamania mające na celu przechwycenie haseł – zarówno te głośne, jak i mniej znane – kończyły się włamaniami na konta internetowe do innych usług.

Jeśli atak rzeczywiście opierał się na dostępie do kont iCloud, funkcja dwuetapowej weryfikacji tego serwisu powinna zapewnić solidną ochronę. Być może teraz jest dobry moment, aby włączyć ją na swoim koncie iCloud.

Porady