Macを標的としたランサムウェアを販売するRansomware-as-a-Service「MacRansom」が確認されたそうです。詳細は以下から。
ネットワークセキュリティを提供する米Fortinet, Inc.によると、ランサムウェアをサービスとして販売するRansomware-as-a-Service(以下、RaaS)にMacを対象とする「MacRansom」サービス&ランサムウェアがTORネットワーク上に出現しているそうです。
Ransomware-as-a-services (RaaS) hits MacOs, proving just how in vogue the cybercrime business model has become https://t.co/VYTOpN7YVy
— FortiGuard Labs (@FortiGuardLabs) 2017年6月9日
Just recently, we here at FortiGuard Labs discovered a Ransomware-as-a-service (RaaS) that uses a web portal hosted in a TOR network which has become a trend nowadays. However, in this case it was rather interesting to see cybercriminals attack an operating system other than Windows. And this could be the first time to see RaaS that targets Mac OS.
MacRansom: Offered as Ransomware as a Service – Fortinet Blog
MacRansomの機能
MacRansomは今年5~6月に公開されたRaaSで、FortinetはこのMacRansomとコンタクトを取りビットコインと引き換えにサンプルを送ってもらったところ、そのランサムウェア実行するまでの時間を調整するスケジュール機能(トリガー)や暗号化機能を提供し、後に0.25ビットコイン(約700ドル)の身代金を要求してくるように設計されていたそうです。
Running the MacRansom sample, a prompt showed up stating the program is from an unidentified developer. So as long as users don’t open suspicious files from unknown developers, they are safe. Clicking Open gives permission for the ransomware to run.
MacRansom: Offered as Ransomware as a Service – Fortinet Blog
このランサムウェアは署名されていないため、実行はGatekeeperによりブロックされるようですが、VirusTotalで確認したところによると現在のところFortinetの検出エンジンでしか特定されていないようなので、開発者が不明なファイルを開く際には注意して下さい。
Indicators of Compromise
VirusTotalに登録された検体
- OSX/MacRansom.A!tr – VirusTotal
LaunchAgent
- ~/LaunchAgent/com.apple.finder.plist
- ~/Library/.FS_Store
- MacRansom: Offered as Ransomware as a Service – Fortinet Blog
コメント