9. März 2016
Nach Locky und TeslaCrypt ist erstmals ein Erpressungstrojaner im Umlauf, der Apples Betriebssystem OS X bedroht. Der Schädling trägt den Namen KeRanger und verschlüsselt ebenfalls die Daten auf den Geräten, um danach ein Lösegeld für die Wiederherstellung zu fordern.
Verteilt wurde KeRanger über das File-Sharing Programm BitTorrent, das zum Austausch von Dateien über das Internet genutzt wird. Betroffen ist insbesondere die Client-Software "Transmission" für BitTorrent. Wer sich diesen Client am 4. März 2016 in der Version 2.90 installiert hat, dürfte sich mit großer Wahrscheinlichkeit auch KeRanger eingehandelt haben.
Nach der Installation verhält sich KeRanger zunächst drei Tage lang ruhig, bevor er mit der Datenverschlüsselung beginnt. Ist das Werk vollbracht, fordert er ein Lösegeld von einem Bitcoin, was ca. 370€ entspricht.
Ungeklärt ist noch, wie der Trojaner unbemerkt auf die Webseite und in die Installationsdateien des Transmission-Clients gelangen konnte. Fest steht nur, dass ein von Apple zugelassenes, gültiges Entwicklerzertifikat vorlag, so dass keiner der üblichen Sicherheitsmechanismen angeschlagen hat.
Apple und auch Transmission haben zeitnah reagiert. Apple hat das betroffene Entwicklerzertifikat zurückgezogen und Transmission hat die infizierten Installationsdateien für die Version 2.90 des Clients von seiner Webseite entfernt. Anwendern wird empfohlen, direkt die Version 2.92 zu installieren, die den Schädling im Fall der Fälle auch gleich löscht.
Dass jetzt auch Mac-Geräte von Erpressungsviren heimgesucht werden, zeigt einmal mehr, wie lukrativ das Geschäft für die Angreifer offenbar ist. Zumal sie private Anwender wie große Unternehmen und Organisationen gleichermaßen ins Visier nehmen. Umso wichtiger ist es einmal mehr, aktuelle Sicherungskopien seiner Daten zu erstellen und sie auf externe Speichermedien auszulagern. Dabei kann es für Unternehmen aber tatsächlich kostengünstiger sein, das Lösegeld zu zahlen, als den Aufwand zu tragen, die Daten aus dem Backup wieder einzuspielen. Für die Angreifer also ein funktionierendes Geschäftsmodell.
Quellen:
KeRanger: Erste Ransomware-Kampagne bedroht Mac OS X (heise.de)
Erpresser-Software greift jetzt auch Macs an (computerbild.de)
Locky und die Liga der außergewöhnlichen Schadprogramme (zeit.de)