Ecco come funziona Turtle, il nuovo ransomware per macOS

L'esperto di sicurezza informatica Patrick Wardle ha analizzato il recente ransomware chiamato Turtle, progettato per colpire macOS.

Avatar di Andrea Maiellano

a cura di Andrea Maiellano

Author

L'esperto di sicurezza informatica Patrick Wardle ha analizzato il recente ransomware chiamato Turtle, progettato per colpire i dispositivi Apple che usano macOS.

Wardle ha evidenziato che, una volta analizzato su Virus Total, Turtle è stato identificato come dannoso da 24 soluzioni anti-malware, suggerendo che non sia una minaccia altamente sofisticata.

Tuttavia, le soluzioni antivirus hanno generalmente etichettato il codice come "Altro:Malware-gen", "Trojan.Generic", o "Possibile Minaccia". In alcuni casi, è stato erroneamente identificato come malware per Windows ("Win32.Troj.Undef").

Wardle ha ipotizzato che il ransomware fosse originariamente sviluppato per Windows e successivamente adattato per macOS. Solo un software antivirus ha individuato il codice come "Ransom.Turtle" a causa del nome interno del malware.

Nell'archivio decompresso, sono presenti file (con prefisso 'TurtleRansom') compilati per piattaforme comuni, come Windows, Linux e, sorprendentemente, macOS.

Patrick Wardle
Immagine id 6656

Il ransomware non è corredato da firma digitale e si presume che Gatekeeper, la protezione di macOS, possa bloccarlo. Inoltre, il codice binario del ransomware è privo di qualsiasi tentativo di oscuramento.

Il ransomware Turtle opera leggendo i file in memoria, crittografandoli attraverso AES (modalità CTR), rinominandoli e sovrascrivendo i contenuti originali con dati crittografati, aggiungendo l'estensione "TURTLERANSv0" ai file interessati.

Nonostante non sia particolarmente sofisticato, la presenza di una versione macOS del ransomware Turtle, suggerisce la sua crescente diffusione nell'ambito del crimine online.

Wardle ha identificato diverse stringhe in cinese, alcune delle quali correlate alle operazioni di ransomware, come "加密文件" che si traduce in "Crittografa i file". Tuttavia, la sola presenza di queste stringhe non è sufficiente per identificare un qualsivoglia gruppo di hacker specifico associato al ransomware.

In questo caso, ci siamo imbattuti in un nuovo ransomware, chiamato internamente 'Turtle'. Sebbene attualmente rappresenti una minaccia limitata per gli utenti macOS, dimostra ancora una volta l'interesse degli autori di ransomware verso questo sistema operativo.

La parte conclusiva dell'analisi di Patrick Wardle, illustra come macOS sia, da sempre, un sistema operativo che interessa i creatori di ransomware e malware e che, per quanto risultino sempre poco efficaci e limitati in termine di minaccia, gli utenti Apple debbano sempre restare vigili nei confronti di queste nuove, e costanti, minacce.