Según la firma de seguridad con la que ha estado trabajando la compañía, el incidente sería el primer ataque enfocado únicamente a Apple utilizando ransomware, que por lo general se dirige a equipos que ejecutan Windows. La forma de actuar del ataque es pidiéndole a las víctimas que paguen una cuota, por lo general a través de bitcoin, para obtener acceso a las claves con las que recuperar los archivos. Por tanto hablamos de un software malicioso que afecta a un equipo de manera temporal y que hasta ahora se había producido en equipos con el SO de Microsoft.
El aviso habría sido alertado por la firma de seguridad Palo Alto Networks, quienes habrían detectado la presencia del ransomware bajo el título de Keranger en los instaladores de Transmission, el cliente de BitTorrent para Mac. Según ha advertido la página web de Transmission, aquellas personas que hubieran descargado la versión 2.90 del cliente “deben actualizar inmediatamente a la versión 2.92”.
En cuanto a cómo lograron los atacantes subir una versión manipulada de Transmission, no está nada claro. Según explicaban desde la firma de seguridad Palo Alto:
Es posible que la página oficial de Transmission se haya visto comprometida y los archivos fueran reemplazados por versiones maliciosas recompiladas, pero no podemos confirmar cómo se produjo la intromisión.
En cuanto a su modus operandi, el ataque de KeRanger aparecía en aquellos equipos infectados tres días después de su ejecución. Lo hacía cifrando documentos de los ordenadores junto a otros ficheros del mismo, momento en el que se pedía el pago (normalmente alrededor de 400 dólares) a alguna dirección específica.