U novom izvještaju, Microsoft je otkrio 4 ransomware taktike za macOS. Tadi se o četiri različitih obitelji ransomwarea, KeRanger, FileCoder, MacRansom i EvilQuest – sve četiri usmjerene su na macOS sisteme.
Ispitivanje prijetnji macOS-a
Prema izvještajuu, obitelji malwarea stare su i pokazuju niz mogućnosti.
Inicijalni vektor za sav ovaj zlonamjerni softver je metoda potpomognuta korisnikom, gdje žrtva preuzima i instalira trojanske aplikacije.
Nadalje, zlonamjerni softver može stići kao korisni teret druge faze koji postojeći zlonamjerni softver ispušta kao dio napada na lanac opskrbe.
Bez obzira na početni vektor napada, napadači se oslanjaju na karakteristike originalnog OS-a za kasnije faze i iskorištavaju nedostatke kako bi provalili u sisteme i šifrirali datoteke.
Uvid u korištene taktike
Sve četiri obitelji ransomwarea koriste različite taktike za obavljanje različitih zadataka.
FileCoder i MacRansom koriste Unix pomoćni program za pronalaženje, dok KeRanger i EvilQuest koriste druge bibliotečke funkcije kao što su readdir, closedir i opendir za pristup i organiziranje datoteka.
Izbjegavanje analize: KeRanger koristi tehniku odgođenog izvršenja, gdje nakon infekcije ostaje tih tri dana kako bi izbjegao otkrivanje.
MacRansom, EvilQuest i KeRanger koriste kombinaciju hardverskih i softverskih provjera kako bi otkrili radi li zlonamjerni softver u virtualnom okruženju kako bi se odupro analizi.
Enkripcija
FileCoder koristi uslužni program ZIP za šifriranje datoteka, dok KeRanger koristi AES enkripciju u Cipher block chaining modu.
MacRansom i EvilQuest koriste prilagođene simetrične algoritme za enkripciju datoteka. Nadalje, EvilQuest ima karakteristike poput trojanskih, kao što je keylogging i kompromitiranje Mach-O datoteka ubacivanjem proizvoljnog koda.
Zaključak
Akteri ransomwarea redovito nadograđuju svoj zlonamjerni softver kako bi ga učinili efikasnijim, a istovremeno izbjegavaju sigurnosne sisteme novim tehnikama. Razumijevanje uobičajenih taktika i rutina ovog zlonamjernog softvera može pomoći organizacijama da poboljšaju svoju strategiju zaštite podataka i cyber obrane. Sigurnosnim timovima savjetuje se da koriste podatke o prijetnjama u stvarnom vremenu kako bi bili u toku s promjenom TTP-ova prijetnji ransomwarea.
IZVOR: CyWare Alerts – Hacker News