“Device hacked by Oleg Pliss. Per sbloccare il tuo iPhone, iPad o Mac devi versarmi la somma di 100 dollari o di 100 euro“. È questo il succo di un messaggio che migliaia di utenti australiani hanno visto apparire sui propri dispositivi Apple.
Un nuovo pericoloso ransomware attacca così i dispositivi della Mela mettendoli sotto scacco ed impedendo agli utenti di riprenderne il controllo. Il cliché utilizzato questa volta è tuttavia un po´ differente.
Mentre nel caso dei ransomware (malware che, una volta insediatisi sul sistema, ne prendono interamente possesso disattivando alcune delle principali funzionalità, variando in profondità la configurazione del sistema operativo e bloccando l’accesso allo stesso) sviluppati per Windows tutto ha origine con un’infezione (esecuzione di codice nocivo da parte dell’utente, avvio automatico di routine dannose in mancanza di aggiornamenti di sicurezza del browser o di Windows,…), il blocco dell’iPhone, dell’iPad o di Mac OS X non è figlio della presenza di un componente malware sul dispositivo in uso.
L’aggressione sferrata nei confronti dei possessori di device Apple, quindi, è diversa anche dall’attacco ransomware che ha recentemente preso di mira gli utenti di Android (Virus polizia di stato anche su Android, ecco come si presenta) e, poco prima, i sistemi Mac OS X (I ransomware iniziano a bersagliare anche Mac OS X).
Ransomware su iPhone, iPad e Mac: come arriva l’infezione
Secondo le prime analisi, gli utenti australiani possessori di iPhone, iPad e sistemi Mac OS X sarebbero stati bersagliati utilizzando la nota funzionalità Apple iCloud ed in particolare “Trova il mio dispositivo“.
iCloud è un servizio che permette la sincronizzazione automatica di dati, contatti, immagini e brani musicali tra i vari dispositivi dell’utente in modo automatico. Per usare la funzionalità è indispensabile disporre di un “Apple ID” ossia di un identificativo Apple creato dallo stesso utente (solitamente al primo avvio del dispositivo).
Gli autori del ransomware avrebbero utilizzato le credenziali d’accesso di molti utenti che sarebbero state precedentemente razziate predisponendo da remoto l’installazione e l’esecuzione del codice dannoso.
Ci sono buone probabilità che l’attacco in grande stile che ha preso di mira gli utenti Apple sia figlio di una cattiva abitudine, seppur ancora molto radicata: l’utilizzo della medesima password d’accesso per più servizi. Gli aggressori, infatti, avrebbero verosimilmente utilizzato le credenziali d’accesso raccolte e diffuse online in seguito a precedenti attacchi focalizzati su altre piattaforme.
Gli utenti che hanno scelto di attivare l’autenticazione a due fattori non hanno corso e non corrono alcun pericolo. Apple, da parte sua, ricorda l’importanza di attivare la “verifica in due passaggi“: a questo indirizzo tutte le istruzioni.