Macを標的としたランサムウェアを販売するRansomware-as-a-Service「MacRansom」が確認される。

スポンサーリンク

 Macを標的としたランサムウェアを販売するRansomware-as-a-Service「MacRansom」が確認されたそうです。詳細は以下から。

実行ファイルのアイコン。

 ネットワークセキュリティを提供する米Fortinet, Inc.によると、ランサムウェアをサービスとして販売するRansomware-as-a-Service(以下、RaaS)にMacを対象とする「MacRansom」サービス&ランサムウェアがTORネットワーク上に出現しているそうです。

Just recently, we here at FortiGuard Labs discovered a Ransomware-as-a-service (RaaS) that uses a web portal hosted in a TOR network which has become a trend nowadays. However, in this case it was rather interesting to see cybercriminals attack an operating system other than Windows. And this could be the first time to see RaaS that targets Mac OS.

MacRansom: Offered as Ransomware as a Service – Fortinet Blog

MacRansomの機能

 MacRansomは今年5~6月に公開されたRaaSで、FortinetはこのMacRansomとコンタクトを取りビットコインと引き換えにサンプルを送ってもらったところ、そのランサムウェア実行するまでの時間を調整するスケジュール機能(トリガー)や暗号化機能を提供し、後に0.25ビットコイン(約700ドル)の身代金を要求してくるように設計されていたそうです。

Fortinetが発見したRaaS「MacRansom」

Running the MacRansom sample, a prompt showed up stating the program is from an unidentified developer. So as long as users don’t open suspicious files from unknown developers, they are safe. Clicking Open gives permission for the ransomware to run.

MacRansom: Offered as Ransomware as a Service – Fortinet Blog

 このランサムウェアは署名されていないため、実行はGatekeeperによりブロックされるようですが、VirusTotalで確認したところによると現在のところFortinetの検出エンジンでしか特定されていないようなので、開発者が不明なファイルを開く際には注意して下さい。

VirusTotalのOSX/MacRansom.A!tr検体

Macを標的としたランサムウェアは2016年頃からKeRangerFilecoderなどが確認されています。

Indicators of Compromise

VirusTotalに登録された検体

LaunchAgent

  • ~/LaunchAgent/com.apple.finder.plist
  • ~/Library/.FS_Store