Usuarios de dispositivos Apple como por ejemplo iPhone, iPod e iPad que utilizan iOS, principalmente de Australia, han sido víctimas de un ransomware que secuestra sus equipos y pide un rescate en dólares. Algunos sitios reportan que el precio es de 50 dólares/euros, mientras que otros indican que se han pedido 100 dólares/euros vía Paypal.
El mensaje que aparece en pantalla dice algo como "Dispositivo hackeado por Oleg Pliss. Para desbloquear el dispositivo NECESITAS enviar el código del voucher por $50 de uno de estos (Moneypack/ukash/PaySafeCard)". Se puede ver en la siguiente captura publicada en Naked Security:
La discusión en el foro de Apple comenzó el domingo y rápidamente recibió cientos de publicaciones de usuarios comentando situaciones similares, en las que un iPhone o iPad se bloqueaba repentinamente mostrando el mensaje de Oleg Pliss. A continuación vemos una parte de la conversación:
¿Qué sucede exactamente?
El ataque parece comprometer el Apple ID de los usuarios para luego utilizar la función Find My iPhone y bloquear remotamente el dispositivo. Hasta el momento no se ha demostrado que los dispositivos hayan sido infectados con malware, sino que aparentemente los atacantes lograron hacerse de las credenciales de iCloud, el servicio de almacenamiento en la nube de Apple.
Cabe destacar que este no es un caso tradicional de ransomware en el que se cifra el dispositivo y luego se pide un rescate para brindar la clave de descifrado, y es por eso que hablamos de "ransomware" en Apple. Lo que sucede en este caso es que se aprovecha con fines maliciosos la funcionalidad Find My iPhone que permite localizar cualquier dispositivo Apple asociado a la cuenta de iCloud. Entonces, una vez dentro del panel de iCloud, el atacante puede configurar el mensaje que le llegará a quien tenga el dispositivo para que se bloquee y quede inutilizado. La siguiente captura creada a modo de prueba en en Laboratorio de Investigación de ESET Latinoamérica muestra este proceso:
En resumen, no hay infección (hasta ahora), sino que hay un compromiso de las credenciales que permite al atacante administrar los dispositivos como si fuera el propietario.
Sin embargo, no queda claro cómo accedieron a esas credenciales. Es posible que hayan utilizado ataques de phishing o accedido a bases de datos que incluyeran esas contraseñas; pero el hecho de que la gran mayoría de los usuarios afectados son solamente de Australia, y que aseguraron utilizar distintos proveedores de e-mail, pone en duda esa explicación. Normalmente, las campañas de phishing y el robo de bases de datos afectan a múltiples proveedores y a usuarios de distintas áreas geográficas.
Pero independientemente de en qué parte del mundo vivas, la más importante medida de protección preventiva es activar la doble autenticación de Apple para credenciales de Apple ID, dice David Harley, Senior Research Fellow de ESET. "En la base de conocimiento de Apple hay un artículo con detalles sobre cómo habilitarlo; esencialmente, te permite autenticarte utilizando una contraseña, un PIN (código de verificación) de 4 dígitos que se envía a un dispositivo de confianza cada vez que se hace login, y genera también uno de 14 dígitos para recuperación de emergencia. Este sería un buen momento para cambiar tu contraseña de Apple ID y asegurarte de que no estás reutilizando una clave que haya podido ser comprometida en otro servicio", recomienda Harley en el sitio IT Security.
Apple Australia ha sugerido a los usuarios contactar a AppleCare o vistar una Apple Store en caso de ser necesario, y asegura que la brecha en iCloud que permitía desbloquear remotamente un iPhone no es responsable de este ransomware.
Aquellos que hayan sido afectados, pueden borrar el dispositivo y su código de acceso utilizando modo de recuperación. Apple describe el procedimiento para para quienes no han sincronizado con iTunes, no tienen Find My iPhone configurado o no pueden restaurar backup desde iTunes o iCloud a través de sus computadoras:
- Desconectar todos los cables y apagar el dispositivo
- Mantener apretado el botón Home mientras se conecta con iTunes
- Al hacerlo, iTunes debería ofrecer restaurar el dispositivo
"No sé de ninguna instancia en la que alguien haya pagado el rescate, pero no hay razón para asumir que el cibercriminal restauraría a la víctima el acceso al dispositivo afectado, así que ten en cuenta que aunque pagues, aún así deberás hacer una restauración de fábrica", concluye Harley.
Una vez más, te recordamos la importancia de mantener un backup físico de tu información. Por último, recuerda siempre estar alerta a posibles campañas de phishing que busquen robar credenciales y proteger, en este caso, la contraseña de iCloud.