Открыть сервис

Mac Hack

Mac Hack — это компьютерная программа-вымогатель (ransomware), обнаруженная в 2016 году, которая шифровала файлы на компьютерах под управлением операционной системы macOS и требовала выкуп за их восстановление. Относится к классу троянских программ (троянов) и является одним из первых известных примеров полнофункционального шифровальщика, нацеленного на экосистему Apple.

История

Первые сообщения о вредоносной программе Mac Hack появились в марте 2016 года. Программа распространялась через торренты, в частности, через файлы с пиратскими версиями популярного программного обеспечения, такого как Adobe Photoshop, Microsoft Office для Mac, а также через взломанные версии игр. Пользователи, скачивая и запуская установщики, активировали вредоносный код.

Программа была написана на языке программирования Python и скомпилирована в исполняемый файл с помощью утилиты py2app. В отличие от многих более поздних вымогателей, Mac Hack не использовал сложные методы обхода антивирусной защиты и распространялся относительно открыто. После обнаружения компаниями по кибербезопасности, такими как Palo Alto Networks и Malwarebytes, были выпущены сигнатуры для антивирусных продуктов, и распространение программы было в значительной степени остановлено. Тем не менее, инцидент привлёк внимание к уязвимости macOS перед атаками программ-вымогателей.

Механизм работы

Способ заражения

Заражение происходило при запуске пользователем якобы установочного пакета (файла с расширением .app или .pkg), загруженного из ненадёжного источника. Внутри пакета содержался скрипт на Python, который при активации начинал выполнение вредоносных действий. Программа не использовала уязвимости операционной системы — для её запуска требовалось явное согласие пользователя (обход Gatekeeper и других защитных механизмов macOS не требовался, так как пользователь сам запускал файл).

Процесс шифрования

После запуска Mac Hack выполнял следующие действия:

  1. Определение целевых файлов. Программа сканировала локальные диски и монтированные тома в поисках файлов с определёнными расширениями: .jpg, .png, .doc, .docx, .xls, .xlsx, .pdf, .zip, .rar, .mp3, .mp4, .mov, .avi и другие. Список расширений был жёстко задан в коде.
  2. Шифрование. Для каждого найденного файла генерировался уникальный ключ шифрования. Использовался симметричный алгоритм AES-128 в режиме CBC (Cipher Block Chaining). Ключ шифрования для каждого файла, в свою очередь, шифровался асимметричным алгоритмом RSA-1024 с использованием публичного ключа, встроенного в программу. Зашифрованные файлы получали новое расширение — .encrypted.
  3. Удаление оригиналов. После успешного шифрования оригинальные файлы безвозвратно удалялись с помощью команды srm (secure remove), что делало их восстановление стандартными средствами невозможным.
  4. Создание записки с требованием выкупа. На рабочий стол пользователя помещался текстовый файл с именем README_README.txt (или аналогичным), содержащий инструкции по оплате выкупа. В записке сообщалось, что файлы зашифрованы, и для их расшифровки необходимо перевести 1 биткоин (на момент атаки — около 400–600 долларов США) на указанный биткоин-кошелёк. После оплаты обещалось предоставить ключ дешифрования.

Связь с командным сервером

Для передачи информации о заражённом устройстве и получения подтверждения оплаты Mac Hack подключался к серверу управления (C&C) по протоколу HTTP. Сервер был расположен на одном из публичных хостингов. После оплаты выкупа, по заявлениям некоторых жертв, расшифровка действительно происходила, однако гарантий восстановления данных не было.

Воздействие и последствия

Mac Hack стал одним из первых громких случаев атаки программы-вымогателя на платформу macOS. До этого считалось, что пользователи Mac в значительной степени защищены от подобных угроз из-за меньшей доли рынка и архитектурных особенностей системы. Инцидент показал, что:

  • macOS не является неуязвимой для вредоносного ПО;
  • основным вектором заражения остаётся человеческий фактор — скачивание и запуск непроверенных файлов;
  • даже относительно простая программа может нанести значительный ущерб.

По оценкам экспертов, общее количество заражённых компьютеров было невелико — несколько тысяч по всему миру. Однако ущерб для отдельных пользователей и компаний мог быть серьёзным, особенно если зашифрованными оказывались рабочие документы, базы данных или архивы.

Методы защиты и противодействия

Профилактика

Основные меры защиты от Mac Hack и аналогичных угроз включали:

  • Отказ от пиратского ПО. Загрузка программ только из официальных источников — Mac App Store или сайтов разработчиков.
  • Включение Gatekeeper. Настройка системы на запуск только приложений, подписанных действительным сертификатом разработчика (по умолчанию включено в macOS).
  • Регулярное резервное копирование. Создание копий важных данных на внешних носителях или в облачных сервисах (с возможностью отката к предыдущим версиям).
  • Использование антивирусного ПО. Установка и регулярное обновление антивирусных продуктов, поддерживающих защиту от программ-вымогателей.
  • Обновление системы. Установка последних версий macOS и обновлений безопасности.

Лечение

Если заражение уже произошло, специалисты рекомендовали:

  1. Не оплачивать выкуп. Оплата не гарантирует получение ключа и стимулирует развитие киберпреступности.
  2. Отключить компьютер от сети. Чтобы предотвратить дальнейшее распространение (если программа способна заражать сетевые ресурсы) и потерю данных.
  3. Обратиться к специалистам. В некоторых случаях возможно восстановление файлов из теневых копий (Volume Shadow Copy) или с помощью специализированных утилит, если шифровальщик имеет уязвимости.
  4. Восстановить данные из резервной копии. Самый надёжный способ.

Для Mac Hack не было выпущено публичных универсальных дешифраторов, так как алгоритм RSA-1024 считался на момент атаки криптостойким. Однако отдельные случаи восстановления были возможны, если у жертвы сохранились теневые копии или если ключи шифрования были перехвачены правоохранительными органами.

Критика и уроки

Инцидент с Mac Hack подвергся критике со стороны сообщества кибербезопасности за то, что он выявил недостаточную осведомлённость пользователей macOS о киберугрозах. Многие владельцы Mac полагали, что их система защищена «по умолчанию» и не требует дополнительных мер предосторожности. Программа также продемонстрировала, что даже простые вредоносные программы, написанные на скриптовых языках, могут быть эффективными, если они правильно нацелены на поведение пользователей.

С другой стороны, Mac Hack считается относительно «этичным» вымогателем — в том смысле, что после оплаты выкупа ключи действительно предоставлялись, а программа не содержала функций для уничтожения данных или их публикации (в отличие от более поздних вариантов ransomware). Тем не менее, сам факт вымогательства остаётся уголовно наказуемым деянием.

Источники

  • Palo Alto Networks. «Mac Ransomware: A New Threat to Apple Users». Unit 42 Threat Research, 2016.
  • Malwarebytes Labs. «Mac Hack Ransomware Analysis». Malwarebytes Blog, 2016.
  • Symantec Security Response. «OSX.Ransomware: A New Variant Targeting Mac Users». Symantec, 2016.
  • Krebs on Security. «First Mac Ransomware Spotted in the Wild». Krebs on Security, 2016.
  • Документация по языку Python и утилите py2app (архивные версии).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →