Un gran número de personas, en su mayoría ubicadas en Australia, están informando que han sido objeto de un ataque inexplicable que toma sus iPhones y iPads como rehenes y exige que paguen un rescate de 100 dólares.
El ataque parece funcionar al comprometer cuentas de iCloud vinculadas con los dispositivos bloqueados, según una discusión de un foro de soporte de Apple que comenzó el domingo por la mañana y rápidamente acumuló varios cientos de publicaciones.
El 22 de mayo se dio a conocer que unos hackers lograron comprometer el sistema de almacenamiento en la nube de Apple conocido como iCloud.
Estos dispositivos emiten un fuerte sonido que normalmente está asociado con una característica que ayuda a los usuarios a localizar los dispositivos que han perdido o les han sido robados. Estos iPhones y iPads también muestran el mensaje: "Dispositivo 'hackeado' por Oleg Pliss. Para desbloquear el dispositivo, debes enviar un código de cupón de 100 dólares o euros (Moneypack/Ukash/PaySafeCard) al correo electrónico lock404@hotmail.com para desbloquearlo".
En algunos casos -específicamente, cuando un usuario no le ha asignado un código de acceso fuerte a un dispositivo bloqueado- solo puede ser desbloqueado al restaurar la configuración de fábrica, lo cual elimina completamente los datos y aplicaciones almacenados con anterioridad.
El ataque masivo es una variación de las así llamadas estafas "ransomware", las cuales inicialmente se enfocaba en usuarios de Windows PC, y este mes se descubrió que se estaban dirigidas a usuarios de teléfonos inteligentes con el sistema operativo Android de Google.
Las publicaciones en el foro brindan evidencia de que las Apple ID de las víctimas y sus contraseñas han sido comprometidas, de tal forma que los atacantes pueden bloquear dispositivos conectados utilizando el servicio Find My iPhone, de Apple.
Pero hasta ahora, no ha quedado claro de qué manera los piratas cibernéticos lograron comprometer las cuentas de iCloud.
Mientras es posible que los secuestradores utilizaran ataques de "phishing" o ingresaran a bases de datos de contraseñas para obtener las credenciales, no hay explicación sobre por qué la gran mayoría de las víctimas se encontraban en Australia e informaron utilizar una variedad de proveedores de correo electrónico. Normalmente, las campañas de "phishing" y el ingreso no autorizado a bases de datos que involucran a varios proveedores afectan a los usuarios de más regiones geográficas.
¿Envenenamiento de DNS?
Un participante en la discusión en línea especuló que el ataque masivo podría haber sido el resultado de entrar a servidores de sistema de nombres de dominio (DNS) utilizados por proveedores de servicio australianos para traducir direcciones que los humanos pueden leer, como Apple.com, en las direcciones IP de las que dependen los enrutadores de Internet.
Un ataque de este tipo, que aún no ha sido confirmado en este caso, funciona al "envenenar" las tablas de consulta de los servidores DNS para que en secreto puedan dirigir a las personas a sitios impostores. Asumiendo que esta técnica estaba en juego en el bloqueo de iPhones y iPads, los usuarios afectados que ingresaron una contraseña en lo que parecía ser el sitio de Apple podrían, sin saberlo, habérsela dado a las personas detrás del ataque.
Funcionarios de Apple aún no han hecho comentarios sobre el informe. No hay indicio de que los secuestros sean el resultado de cualquier compromiso en los servidores de Apple, así que eso deja a los usuarios finales con la obligación de resolver ellos mismos cómo asegurar sus propios dispositivos.
Una vez más, a los lectores se les recomienda que utilicen contraseñas largas, creadas al azar, que sean exclusiva para su cuenta en iCloud. También deberían habilitar la autenticación de dos factores, y asignar un código de acceso adicional, creado al azar, para cada iPhone y iPad que posean.
A los lectores se les recuerda que pueden tener permanentemente desactivadas sus cuentas de Apple ID, y posiblemente su iPhone o iPad cuando se ejecuta el iOS 7 con la función Find My iPhone activada, si se ven comprometidos antes de que la autenticación de dos factores esté habilitada. La autenticación de dos factores no impedirá automáticamente que un atacante comprometa una cuenta en iCloud, pero sí impedirá que el atacante cambie las preguntas de seguridad y otros ajustes cruciales en el caso de una violación.
Se desconoce las identidades de las personas que están detrás del ataque. No hay indicio de que estén vinculados con alguien llamado Oleg Pliss.
Las personas que tengan un dispositivo bloqueado inmediatamente deberían tratar de cambiar las credenciales de su Apple ID y asegurar que la autenticación de dos factores esté habilitada. Si su dispositivo bloqueado no tenía un código de acceso vinculado a él, pueden restaurar la configuración de fábrica al utilizar un cable para conectar el dispositivo a su computadora mientras iTunes está abierto.
Fuente
