A principios de esta semana hemos podido ver cómo, la versión compilada para Mac OS X de Transmission, el conocido cliente de descargas torrent libre y gratuito, distribuía, sin el conocimiento de los autores, el primer ransomware para el sistema operativo de Apple. Este ransomware ha pillado de sorpresa tanto a los usuarios como a los investigadores de seguridad, quienes, tras el asombro, han empezado a analizar el malware, descubriendo que, en realidad, KeRanger no es un ransomware original, sino que ya se ha visto antes.
Varios expertos en seguridad han podido comprobar cómo KeRanger, nombre que ha recibido este primer ransomware para Mac, en realidad es una copia de Linux Encoder, concretamente de la versión 4, el primer ransomware para los sistemas Linux, detectado y analizado ya en noviembre de 2015 por la empresa de seguridad Dr. Web.
Los expertos de seguridad aseguran que este ransomware comparte muchas funciones con su padre, Linux Encoder, tales como encrypt_file, recursive_task, currentTimestamp o createDaemon. También aseguran que la técnica, el algoritmo y la rutina de cifrado son iguales, lo cual, además, es una buena señal.
Cuando empezó a proliferar Linux Encoder se pudieron encontrar varias vulnerabilidades que permitían a los usuarios recuperar los archivos sin tener que pagar el correspondiente rescate. Como KeRanger está basado en Linux Encoder, es muy probable que en poco tiempo los expertos de seguridad encuentren una brecha en el algoritmo de cifrado que permita, igualmente, recuperar los archivos sin tener que pagar y subvencionar a los piratas informáticos.
KeRanger «solo» ha infectado a 6500 usuarios
Analizando las descargas de Transmission, los responsables del programa han informado que en las 32 horas que la versión maliciosa estuvo presente en la web se descargó alrededor de 6500 veces, infectando así a un máximo de 6500 usuarios, aunque lo más probable es que el número real de infecciones sea menor (ya que no todos los que lo descargaron lo habrán instalado).
Aunque los daños de este ransomware son considerables, si lo comparamos con los que causa este tipo de malware para Windows, es una broma. En Windows, el ransomware genera decenas de millones en beneficios para los piratas informáticos, ya que el número de víctimas, tanto potenciales como reales, es enorme. Además, el hecho de que el ransomware no se activara hasta 3 días más tarde de la infección ha permitido que el número de usuarios afectados sea, aún, mucho menor.
Los usuarios que hayan descargado la versión 2.90 de Transmission para Mac deben descargar lo antes posible la nueva versión, 2.92, ya que esta, además de venir libre de malware, incluye una herramienta para eliminar de forma definitiva KeRanger de los sistemas infectados, aunque (por el momento) no descifrará los archivos que ya hayan sido secuestrados.
¿Eres usuario de Mac OS X? ¿Te has visto afectado por este ransomware?
Quizá te interese:
- ¿Cómo puedo eliminar el ransomware KeRanger de un Mac?
- Transmission 2.90 distribuye el primer ransomware para Mac OS X