MacRansom: Ransomware für macOS im Darknet gefunden

Ransomware für macOS oder OS X auf dem Apple Mac, iMac und MacBook ist nicht sehr häufig, aber auch nicht unmöglich. Die Schadsoftware, die Dateien oder sogar die ganze Festplatte blockiert, um für die Freigabe Bitcoins zu erpressen, gibt es im Darknet zu bestellen. Ransomware as a Service (RaaS) nennt sich so ein Angebot. Die 2000 gegründete Firma Fortinet, die digitale Sicherheitslösungen anbietet, hat sich MacRansom als Ransomware as a Service für macOS und OS X mal angenommen und die Schadsoftware für Möchtegern-Hacker analysiert.

Übrigens: Weiter unten geht es auch um MacSpy, eine Spionagesoftware für den Mac. Klickt hier, um zum entsprechenden Absatz zu springen.

MacRansom, Ransomware für macOS, Apple

Die im Darknet beworbenen Features von MacRansom, einer aktuellen Ransomware für macOS, welche Dateien auf dem Apple Mac, MacBook oder iMac verschlüsseln kann. (Quelle: fortinet.com)

Was ist Ransomware, wie kommt sie auf den Apple Mac?

Kurz zusammengefasst ist Ransomware eine Software, welche die Festplatte eines Computers blockiert oder komplett verschlüsselt. Der Nutzer hat dann keinen Zugriff mehr und bekommt eine Nachricht angezeigt, in der Lösegeld für die Freigabe der Daten verlangt wird. Meist wird ein recht hoher Betrag in Bitcoins verlangt. Ransomware kommt meist per Mail, über USB-Sticks o. ä. Einen detaillierten Beitrag zum Thema findet ihr hier: Daten-Backup: Sicherungskopie als Schutz vor Ransomware.

MacRansom als Schadsoftware für macOS

MacRansom ist nicht die erste Ransomware für Apple Computer. Bereits vor über einem Jahr ging es hier im Blog beispielsweise um KeyRanger, eine ähnliche Hacker-Software für OS X. Wie Fortinet in seiner Analyse des aktuellen Falls darlegt, baut die derzeit kursierende Software zudem auf früheren Codes wie dem des KeyRanger auf; auch wenn sie auf dem entsprechenden Darknet-Portal als neue und zudem „beste Mac Ransomware“ angepriesen wird. Übrigens: dass so selten Ransomware für Mac-Systeme herauskommt, das liegt daran, dass immer noch rund 91,64% privat verwendete Computer mit Windows ausgestattet sind.

Kurzfassung der Analyse durch Fortinet

Fortinet zeigt bei der Analyse der Ransomware MacRansom ordentlich Ambition und legt den E-Mail-Verkehr mit dem Programmierer / Anbieter, Details zum Absender aus den Mails, Programmcodes, Erklärungen für einzelne Programmzeilen usw. dar. Wenn ihr daran interessiert seid, dann klickt den Link am Anfang dieses Absatzes. Hier will ich euch kurz einen Überblick der Erkenntnisse geben:

  • MacRansom wird im Darknet angeboten, der Anbieter muss für den Erhalt der Schadsoftware per Mail angeschrieben werden
  • Die Ransomware verschlüsselt laut Fortinet 128 Dateien, kann aber deren Zeitstempel ändern, was die eigenmächtige Wiederherstellung erschweren kann
  • Die Software wird nur aktiv, wenn der betroffene Nutzer der Ausführung des Programms zustimmt
  • Sie wird als Programm von einem nicht verifizierten Entwickler angezeigt, was euch im Angriffsfall schon zu denken geben sollte
  • Die Attacke kann verzögert stattfinden, das Programm kann sich also zuvor schon heimlich „eingenistet“ haben
  • Die Erpresser fordern 0,25 Bitcoins binnen 7 Tagen, da danach der Entschlüsselungs-Code von ihnen gelöscht wird

Nach dem Ausführen von MacRansom wird auf dem betroffenen Mac das Erpresserschreiben mit Kontaktdaten und Forderung von 0,25 Bitcoins angezeigt. (Quelle: fortinet.com)

Wie viel sind 0,25 Bitcoins?

Ein kleiner Exkurs in Richtung der digitalen Finanzwelt: Bitcoin ist keine allzu stabile Währung. Der Kurs neigt dazu, sehr stark zu schwanken, was den Wert der Erpressungssumme im Fall von Ransomware sehr flexibel macht. So lag der Wert von 1 Bitcoin im März 2017 teilweile unter 1.000€; im Juni lag der Peak bisher bei über 2.500€. Derzeit sprechen wir bei 0,25 Bitcoin von ca. 525€.

Bitcoin-Kurs der letzten 3 Monate; Stand: Mitte Juni 2017. (Quelle: finanzen.net)

Wie schützt man sich vor Ransomware?

Wird man beim Apple Mac, iMac oder MacBook noch um Erlaubnis gefragt, bevor das unbekannte Programm ausgeführt wird, dann ist man ja fein raus. Unter Windows ist das bei Ransomware nicht so oft der Fall. Am Apple Computer solltet ihr also nur Programme ausführen, die ihr auch zuordnen könnt. Zudem solltet ihr immer das aktuelle Betriebssystem auf dem Rechner haben. Eine Antiviren-Software kann auch nicht schaden; und ein regelmäßiges Backup sorgt dafür, dass eure wichtigen Daten auch im Falle der lokalen Verschlüsselung immer noch erreichbar sind. Entweder auf einer externen Festplatte oder in der Cloud.

Mehr für dich:
Game Royale 2: The Secret of Jannis Island - Neues Neo Magazin Royale Videospiel mit Jan Böhmermann

Lesetipp: Diese Mac-Modelle sind mit macOS 10.13 High Sierra kompatibel

MacSpy als Malware as a Service

Neben der Ransomware MacRansom gibt es, ebenfalls im Darknet, ebenfalls auf besagter Plattform, eine Spionage-Software als Malware as a Service (MaaS). MacSpy nennt sich der digitale Spion, der weniger als 30 MB einnehmen und damit relativ „unsichtbar“ sein soll. Über den Proxy-Browser Tor soll der Betrieb zudem nicht zurück verfolgbar sein.

Die Features:

  • Alle 30 Sekunden kann ein Screenshot vom Bildschirm / von mehreren Bildschirmen gemacht werden
  • Die Tastaturnutzung kann aufgezeichnet werden
  • Fotos vom iPhone werden von der iCloud-Synchronisation abgegriffen
  • Die Zwischenablage kann ausgelesen werden
  • Etc.

Quelle: alienvault.com

Zusätzliche Features gegen Bitcoin-Zahlung

Aber das sind nur die Features für die kostenlose Version. Es gibt laut AlienVault.com, wo ihr eine umfangreiche Analyse von MacSpy findet, für eine unbekannte Menge an Bitcoins auch noch die Möglichkeit, eine umfangreichere Version zu erhalten. Zu den „Advanced Features“ von MacSpy zählen:

  • Eigenes Festlegen von Aufnahmeintervallen
  • Abfrage aller Daten und Dateien auf dem Mac
  • Verschlüsselung des gesamten Nutzer-Inhalts in wenigen Sekunden
  • Verstecken von MacSpy in Bildern und anderen Formaten
  • ZIP-Erstellung aller über einen Tag gesammelten Daten
  • Updates für das Programm
  • Zugang zu E-Mails und Social Media Accounts des betroffenen Mac-Nutzers

Quelle: alienvault.com

Welche Gefahr geht von MacSpy aus?

Laut der Analyse von Alien Vault, die ähnlich umfangreich und informativ ist wie die MacRansom-Analyse von Fortinet, funktioniert MacSpy. Der betroffene Mac wird der Beschreibung nach ausgelesen und die Daten lassen sich über einen Command and Control Server (CnC) auslesen. Es geht also die Gefahr der totalen Spionage von dem Programm aus.

Mehr für dich:
Studie: Die zuverlässigsten Festplatten beim Online-Backup-Service Backblaze

Dass der Apple Computer mit OS X oder macOS einen Hinweis auf das Programm gibt, geht nicht aus der Analyse hervor. MacSpy ist also kritischer zu betrachten als MacRansom. Wenn ihr wissen wollt, ob ihr betroffen seid bzw. wie ihr die Malware loswerdet, dann schaut mal bei Alien Vault vorbei.

Fazit

Auch wenn Apple Macs im privaten Bereich derzeit nur einen Marktanteil von etwa 6,34% haben, steigt dieser doch an. Das macht OS X und macOS immer attraktiver für Hacker und andere Cyberkriminelle. Mit der regelmäßigen Aktualisierung des OS, einem Antiviren-Programm, Backups und ein bisschen Vorsicht könnt ihr euch aber schützen. Viel Erfolg dabei!

Wie würdest du diesen Beitrag bewerten?

 
57

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.