Несколько лет назад ряд пользователей в Австралии стали жертвами злоумышленников, которые удаленно блокировали iPhone, iPad и Mac, используя функцию «Найти мой iPhone» в iCloud. На взломанных устройствах обычно отображались сообщения с требованием выкупа на русском языке с суммой от 50 до 100 долларов за разблокировку устройства.

В то время эксперт по ИТ-безопасности Трой Хант отметил, что злоумышленники, вероятно, использовали скомпрометированные адреса электронной почты и пароли, утекшие в результате различных нарушений безопасности в сети, для входа в учетные записи iCloud. AOL и eBay, например, были среди нескольких крупных компаний, которые пострадали от утечек данных в 2014 году.

Позже Apple подтвердила, что iCloud не был скомпрометирован, и что в конечном итоге арестованные злоумышленники вместо этого получили доступ к Apple ID и паролям через внешние источники. Российский веб-сайт MKRU сообщил, что злоумышленники получили учетные данные через фишинговые страницы и методы социальной инженерии.

С тех пор, как обнаружил блог по безопасности Salted Hash из издания CSO, по крайней мере с февраля этого года эти атаки с требованием выкупа возобновились и теперь нацелены на пользователей в США и Европе. Методы, используемые злоумышленниками, предположительно, те же, что и в 2014 году, начиная с компрометации Apple ID.

Все начинается с компрометации Apple ID. Оттуда злоумышленник использует функцию «Найти мой iPhone» и переводит устройство жертвы в режим пропажи. На этом этапе они могут заблокировать устройство, разместить сообщение на экране блокировки и воспроизвести звуковой сигнал, привлекая к нему внимание.

В каждом из публично сообщенных случаев сумма выкупа обычно составляет от 30 до 50 долларов. Если жертва связывается по указанному адресу электронной почты, в дополнение к инструкциям по оплате ей сообщают, что у нее есть 12 часов на выполнение, иначе ее данные будут удалены.

Веб-сайт поделился скриншотами и ссылками на сообщения от пользователей Facebook, Twitter и Reddit, чьи устройства, похоже, были захвачены с целью выкупа в последние месяцы, но есть предположения, что проблема может быть гораздо масштабнее. Следующий отрывок, однако, вызывает большие сомнения и, скорее всего, может быть неверным.

Ранее на этой неделе специалист по безопасности разместил сообщение в частной группе по электронной почте с просьбой предоставить информацию, касающуюся возможной компрометации как минимум 40 миллионов учетных записей iCloud.

Salted Hash начал разбираться в этой истории после того, как это письмо попало в наше поле зрения. В нем участник списка задал другим вопрос о слухах, касающихся «молвы о масштабной (40 миллионов) утечке данных в Apple».

Далее в сообщении говорится, что предполагаемая утечка была проведена российским актером, а вектор атаки «похоже, через iCloud к функции ‘locate device’, после чего устройство блокируется и запрашиваются деньги».

В отчете добавляется, что «пока будем считать, что масштабной утечки данных iCloud не было». Apple пока не комментировала этот вопрос.

Учитывая, что учетные данные Apple ID, задействованные в атаках с требованием выкупа, предположительно, происходят из нарушений безопасности в сети, Salted Hash указал на недавно скомпрометированную базу данных Mac-Forums.com, которая якобы включает 291 214 учетных записей и продается примерно за 775 долларов на даркнете.

В настоящее время нет никаких доказательств, указывающих на какую-либо связь между базой данных Mac-Forums и этими атаками с требованием выкупа, но пользователям, у которых есть учетная запись на этом веб-сайте, следует сменить пароли из соображений предосторожности. Также настоятельно рекомендуется установить код доступа к устройству и включить двухфакторную аутентификацию для вашего Apple ID.

У Apple есть документ поддержки, описывающий шаги, которые следует предпринять, если вы считаете, что ваша учетная запись Apple ID была скомпрометирована. Также прочитайте Безопасность и ваш Apple ID.