Palo Alto Networks has combined network, cloud and endpoint security into a tightly integrated platform that delivers automated prevention against cyberattacks — known and unknown

Palo Alto Networksは3月6日(現地時間)、「New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer」において、Mac OS X向けのランサムウェア「KeRanger」を検出したと報告した。Mac OS Xで動作するランサムウェアとしては2014年にKaspersky Labsが発見したFileCoderが存在しているが、発見段階でFileCoderはまだ不完全な作りになっており、完全に動作するランサムウェアでMac OS X向けに開発されたものは今回の「KeRanger」が初めてと指摘している。

説明によれば、攻撃者は「KeRanger」を3月4日時点でBitTorrentクライアントであるTransmission version 2.90に感染させており、Transmissionのサイトからダウンロードできる状態になっていたという。同社は、Transmissionのサイトが何者かによって侵入され、配布物がこのランサムウェアの混入されたバージョンに差し替えられたのではないかと指摘している。

感染済みのTransmissionは公式の証明書で署名されているため、AppleのGatekeepr機能で検出することができない。これに気がつかずにソフトウェアをインストールしてしまうと、3日間の潜伏期間後にTorの匿名ネットワーク経由でコマンドおよび制御サーバに接続。特定のファイルを暗号化し、ユーザに対して復号化の対価としてBitcoinで400ドルほど支払うように要求してくるとしている。しかもこのランサムウェアは現在アクティブな開発段階にあり、バックアップデータからファイルの復元を実施できないようにTime Machineのバップアックに関しても暗号化を試みるようだとも指摘がある。

Palo Alto Networksはすでにこの問題をAppleに報告しており、Appleは該当する証明書を無効化。同様に、Transmissionプロジェクトにも問題は報告済みで、ランサムウェアを含んだ配布物はすでに削除されている。

ランサムウェアに感染したバージョンが配布されていた期間は短いと見られるが、該当する期間に該当するアプリケーションをダウンロードしている場合は注意が必要。問題の特定と対象ファイルを削除する方法が解説されていることから、該当している場合には掲示されている対処を実施することが望まれる。