Den berygtede Mamba ransomware, der lammede San Francisco Municipal Transportation Agency tilbage i 2016 har dukket op igen. Denne gang de kriminelle bag angrebene den store har fokuseret deres opmærksomhed på virksomheder rundt om i verden.
Mamba Ransomware genaktiveret Once Again
En af de kendte vira, som har dukkede op igen i en ny storstilet angreb kampagne er den berygtede Mamba ransomware. Sikkerhedseksperter bemærket indkommende bølge i en række forsøg på indtrængen mod virksomheder over hele verden. Den skiftede fokus synes at være en ny strategi udtænkt af de kriminelle bag kampagnen. Det vides ikke, om den aktuelle angreb er bakket op af de samme forbrydere som før eller en ny kollektiv er opstået. Den Mamba ransomware primært kendt for sin malware HDDCRyptor var i stand til at forårsage ødelæggende angreb San Franciscos metro sidste år.
De første store angreb i forbindelse med truslen skete i september 2016 når eksperter fra Morphus Labs advaret, at virus prøver blev opdaget på systemer, der ejes af en større energiselskab i Brasilien, der også har afdelinger i USA og Indien.
Mamba Ransomware angreb Corporations Worldwide
De sikkerhedseksperter afslører, at de primære ofre for angrebene synes at være store selskaber og virksomhedens kontorer i Brasilien og Saudi-Arabien. Det forventes, at listen kan vokse til andre lande og regioner samt.
Mamba ransomware følger de velkendte angrebsvektorer forbundet med tidligere versioner. Det bruger en to-trins-infektion mønster, der søger at infiltrere computernetværk først. Når dette er gjort det psexec funktionen anvendes til at effektuere den malware på mål-værter. Den fulde analyse viser, at Mamba ransomware prøver oprettet miljøet på systemet som defineret af hackere:
- Den forberedelsesfasen opretter en mappe på hovedsystemet partition (C:) kaldet “XAMPP” og en undermappe kaldet “http”. Dette er en henvisning til den berømte web hosting pakke, der bruges ofte af systemadministratorer. Opsætning af en sti som denne kan indikere en legitim XAMPP installation med en webserver. Som målet værter formodentlig har tjenester installeret dette ikke ville rejse mistanke.
- Den DiskCryptor nytte derefter kopieres til den nye mappe og den specialiserede Windows-driver er installeret på computeren offer. En tjeneste er registreret som et system tjeneste kaldet DefragmentService. Når dette er gjort maskinen genstartes og Mamba ransomware tjeneste påbegyndes.
- Næste det kryptering startes. Da DiskCryptor tjenesten er startet ved opstart service er det i stand til at misconfigure bootloader og påvirker alle tilgængelige systempartitioner.
Under infektionen fase virus høst detaljerede oplysninger om værtscomputeren. Afhængig af hardwarekomponenter og softwarekonfiguration en 32 eller 64-bit version vælges. Analytikerne opdagede, at Mambo ransomware prøver tildele DiskCryptor forsyningsselskaber privilegier for adgang til alle kritiske komponenter i operativsystemet.
Når der er foretaget alle trin bootloader slettes og operativsystemet er ikke længere tilgængelig. Den Mamba ransomware meddelelsen indkodet i selve overskrevet loader. En af de tilfangetagne prøver læser følgende bemærkning:
Dine data krypteret, Contct For Key ( мсrypt2017@yandex.com OR citrix2234@protonмail.com) Dit id: 721, Indtast nøgle:
De tilfangetagne prøver viser, at brugere anvender to e-mail adresser: en af de vært på Yandex og den anden om protonmail. Billederne udstillingsvindue, at nogle af bogstaverne er faktisk fra det kyrilliske alfabet, kombineret med det faktum, at en indbakke hostes på Yandex, afslører, at de kriminelle kan være russisktalende.
For at finde ud af mere og effektivt forhindre infektioner læse vores fuldstændig fjernelse vejledning.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: