Erpresser-Schadsoftware : Die Ransomware KeRanger greift speziell Macs mit OS X an. Die Ransomware KeRanger greift speziell Macs mit OS X an.

Update: Die Entwickler von Transmission haben inzwischen bestätigt, dass ihr Server Opfer eines Angriffs wurde und dabei eine manipulierte Version ihres BitTorrent-Clients die vorhandene offizielle Version ersetzt hatte. Bis zur Entdeckung des Angriffs und der Entfernung der mit Ransomware infizierten Version wurde der Client ungefähr 6.500 Mal heruntergeladen. Damit hält sich die Anzahl der möglichen Betroffenen in Grenzen, da die Sicherheitsexperten bei Palo Alto die Infektion schnell entdeckten und an Transmission meldeten. Außerdem sind die Server laut Transmission nun besser gegen Angriffe geschützt.

Wie genau es den Angreifern gelungen ist, sich Zugriff auf den Hauptserver zu verschaffen, wollten die Entwickler allerdings nicht verraten. Die Existenz einer funktionierenden Ransomware für OS X dürfte aber wohl bedeuten, dass es bald auch andere Angriffe auf Macs geben wird.

Quelle: Reuters

Originalmeldung: Für Sicherheitsexperten war es schon lange klar, dass auch Rechner mit OS X ein Ziel für Angriffe mit Erpresser-Schadsoftware sein können, doch bislang blieben die Besitzer von Macs von tatsächlich verbreiteten Versionen verschont. Das hat sich allerdings in den letzten Tagen geändert. Die Version 2.90 des recht beliebten BitTorrent-Clients Transmisssion für OS X wurde mit einer Ransomware infiziert, die die Sicherheitsexperten von Palo Alto Networks KeRanger nennen.

Die infizierte Version wurde über die normalen Transmission-Server angeboten und konnte auf diese Weise zumindest theoretisch viele Nutzer erreichen. Es ist bislang nicht klar, wie es den Angreifern gelungen ist, die offiziell angebotene Version mit ihrer Schadsoftware zu infizieren, doch Transmission warnt nun auf seiner eigenen Webseite vor Version 2.90 und rät dazu, umgehend die nun veröffentlichte Version 2.92 zu installieren, die die Schadsoftware entfernen kann.

Die Sicherheitsexperten Palo Alto vermuten, dass sich Angreifer Zugang zu der offiziellen Webseite verschafft haben und dort die offizielle Version des BitTorrent-Clients durch eine manipulierte ersetzt haben. Dabei nutzten die Angreifer für die Schadsoftware auch ein offizielles Entwickler-Zertifikat für Apple-Entwickler, so dass die infizierte Variante in der Lage war, die Sicherheitsfunktion GateKeeper von OS X zu überlisten, sofern dort Downloads von Apple-Entwicklern als sicher eingestellt waren. Nachdem Apple über den Missbrauch dieses Zertifikats informiert worden war, wurde es für ungültig erklärt und wird damit nun auch nicht mehr durch den GateKeeper akzeptiert.

Glücklicherweise ist KeRanger darauf programmiert, nach der Infektion drei Tage zu warten, bevor ein Kontrollserver über Tor kontaktiert wird und dann mehr als 300 verschiedene Dateiarten und auch externe Time-Machine-Backups verschlüsselt werden sollen. Die infizierte Version wurde erst ab 4. März verteilt, so dass bislang nur wenige Mac-Nutzer tatsächlich betroffen sein dürften. Nach dem Widerruf des Zertifikats warnt OS X auch vor dem Start der Ransomware.

Quelle: Palo Alto