Cuentas ID de Apple comprometidas, dispositivos secuestrados
By Dani Alonso On 3 Ago, 2017 At 11:16 AM | Categorized As Seguridad | With 0 Comments



Suenan las alarmas en Apple, y no es para menos! Están siendo hackeadas muchas cuentas de iCloud (ID de Apple), y acto seguido bloquean el dispositivo asociado, ya sea iPhone, iPad, MacOS, etc.

Imagina que estás tranquilamente en una terracita tomándote un helado, y de pronto te encuentras tu iPhone secuestrado con el mensaje de iPhone perdido, acompañado de lo siguiente:

Write to email: apple.device@gmx.com

 

En el caso de iPhone, curiosamente los usuarios que están reportando esta incidencia tienen la última versión de iOS, la 10.3.3, pero no se descarta que también esté afectando a otras versiones. Y puesto a que todavía no se conoce la procedencia del problema ni tipo de ataque, es pronto para determinar si se trata de una vulnerabilidad del software de Apple o un malware, pero lo que sí sabemos es que no se trata de un ataque selectivo.

Si enviamos un email a apple.device@gmx.com, en pocos segundos recibiremos una respuesta en la que dice:

Hello!
Your device is blocked for activation of the device:
Pay 50$ for a Bitcoin Address: 12WfbpiUdB9bUbUf7hLJWknaugbMqHgoCx
Buy bitcoins online: https://localbitcoins.net How to buy bitcoins? https://localbitcoins.net/guides/how-to-buy-bitcoins
Inform us about the payment and we will send the passcode.
All your devices will be blocked within 24 hours if not receive payment.

 

Traducción:

¡Hola!
Su dispositivo está bloqueado, para la activación del dispositivo:
Pague 50$ en Bitcoin a la dirección: 12WfbpiUdB9bUbUf7hLJWknaugbMqHgoCx
Comprar bitcoins en línea: https://localbitcoins.net ¿Cómo comprar bitcoins? Https://localbitcoins.net/guides/how-to-buy-bitcoins
Infórmenos sobre el pago y le enviaremos el código de acceso.
Todos sus dispositivos serán bloqueados en 24 horas si no recibimos el pago.

¿Cómo recuperar mi dispositivo?

Importante, no hagáis caso al chantaje. Aunque sea nuestro dispositivo el afectado, tenemos que tener claro que es la cuenta de iCloud (ID de Apple) la que ha sido comprometida, y acto seguido han utilizado la herramienta Buscar mi iPhone para activar el “Modo Perdido” del dispositivo.

Una rápida actuación por nuestra parte podrá ayudarnos a evitar daños mayores, para ello lo primero que debemos hacer cambiar nuestra contraseña de iCloud (https://appleid.apple.com). Una vez cambiada la contraseña, debemos buscar otro iPhone, ya sea nuestro, de un amigo o familiar. Si no tenemos a nuestro alcance ningún dispositivo de Apple, no hay ningún problema, podemos hacerlo desde el navegador de nuestro PC accediendo a www.icloud.com.

Tanto si lo hacemos desde iCloud.com, como si lo hacemos desde un dispositivo Apple, debemos acceder a la herramienta FindMyIphone (Buscar mi iPhone) utilizando nuestros nuevos credenciales. Ahora buscamos nuestro dispositivo, y una vez encontrado lo veremos con el modo perdido activado.

 

Ahora simplemente debemos pulsar sobre “Modo Perdido” para detener el bloqueo. Ahí podremos ver el mismo mensaje que tenemos en nuestra pantalla. Simplemente pulsamos sobre Detener el modo perdido, y confirmamos el mensaje emergente.

Bien! Nuestro dispositivo está completamente liberado, pero no bajes la guardia y activa la protección doble factor para el ID de Apple!

 

En el caso de MacOS, el dispositivo se bloquea con una contraseña de protección de firmware EFI. Deberías poder desbloquearlo del mismo método que hemos mencionado para iOS, es decir, con “Encontrar mi iPhone”, pero si no resulta posible, podemos probar un interesante truco en el que MacOS detecta un cambio de RAM y luego se restablecerá la PRAM/NVRAM.

Para esto, sólo hay que abrir nuestro Mac, quitar un módulo de memoria RAM y arrancar con las teclas CTRL + ALT + P + R pulsadas simultáneamente. Tras esperar tres reinicios, nuestro MacOS quedará desbloqueado y el mensaje de ransomware habrá desaparecido.

 

Cómo evitarlo?

Resulta difícil saber cómo protegerse de algo que no sabemos cómo ha sucedido, pero lo que sí podemos hacer es fortalecer la seguridad de nuestra cuenta iCloud/ID de Apple.

Es importantísimo habilitar la autenticación de doble factor para el ID de Apple, ya que de ese modo limitando el acceso a únicamente los dispositivos de confianza. Cuando deseemos iniciar sesión en un nuevo dispositivo por primera vez, debemos proporcionar dos tipos de información: La contraseña y el código de verificación de seis dígitos que se genera automáticamente en nuestros dispositivos de confianza. Al introducir el código, estamos verificando que el nuevo dispositivo es de confianza.

Esperamos tener más información en las próximas horas o días, ya que por el momento no tenemos muchos detalles.

About - Geek ibérico (Cloud Solutions Principal Advisor - @ENCAMINA). Especialista en seguridad empresarial y soluciones cloud. Perito Judicial Informático Forense, MCSA Office 365, Cloud Platform & Windows 10; MCSE Productivity, Messaging & Cloud Platform and Infrastructure, MCSD Azure Solutions Architect, STEP Member, CISSP, CCNA, MCT, MCITP, MOS Master, ...y colega! :-)