El ransomware Mamba notorio que paralizó la la Agencia de Transporte Municipal de San Francisco de vuelta en 2016 ha resurgido. Esta vez los criminales detrás de los ataques a gran escala han vuelto a centrar su atención en las empresas de todo el mundo.
Mamba ransomware Se reactiva una vez más
Uno de los virus conocidos que ha resurgido en una nueva campaña de ataque a gran escala es el famoso ransomware Mamba. Los expertos en seguridad advirtieron la onda incidente en una serie de intentos de intrusión contra las corporaciones en todo el mundo. La atención se centró parece ser una nueva estrategia diseñada por los criminales detrás de la campaña. No se sabe si el ataque actual está respaldada por los mismos criminales que antes o ha surgido un nuevo colectivo. El Mamba ransomware conocido principalmente por su HDDCRyptor software malicioso fue capaz de causar metro de ataques devastadores San Francisco el año pasado.
Los primeros ataques importantes asociados con la amenaza ocurrieron en septiembre 2016 cuando expertos de los laboratorios Morphus alertados de que las muestras de virus fueron descubiertos en los sistemas de propiedad de una importante empresa de energía en Brasil, que también tiene sucursales en los Estados Unidos y la India.
Mamba ransomware Ataques corporaciones por todo el mundo
Los expertos en seguridad revelan que las principales víctimas de los ataques parecen ser las grandes empresas y oficinas de la empresa ubicadas en Brasil y Arabia Saudita. Se espera que la lista puede crecer a otros países y regiones, así.
ransomware Mamba sigue los vectores de ataque bien conocidos asociados con versiones anteriores. Se utiliza un patrón de infección de dos etapas que busca infiltrarse en la red de ordenadores primero. Cuando se hace esto la psexec utilidad se utiliza para ejecutar el software malicioso en los hosts de destino. El análisis completo muestra que las muestras ransomware Mamba establecieron el medio ambiente en el sistema tal como se define por los hackers:
- El etapa de preparación crea una carpeta en la partición del sistema principal (C:) llamada “xampp” y un subdirectorio llamado “http”. Esta es una referencia a la famosa paquete de alojamiento web utilizado con frecuencia por los administradores de sistemas. La creación de un camino como esto puede indicar una instalación legítima XAMPP con un servidor web. A medida que los hosts de destino probablemente tienen los servicios instalados esto no levantar sospechas.
- El DiskCryptor utilidad se copia en la nueva carpeta y el conductor especializado de Windows está instalado en el ordenador de la víctima. Un servicio está registrada como un servicio del sistema denominado DefragmentService. Una vez hecho esto la máquina se reinicia y se inicia el servicio ransomware Mamba.
- A continuación, el cifrado proceso se inicia. A medida que se inicia el servicio DiskCryptor al servicio de arranque es capaz de desconfigurar el gestor de arranque y afectan a todas las particiones del sistema disponibles.
Durante la infección eliminar las cosechas de virus información detallada sobre el equipo host. Dependiendo de los componentes de hardware y configuración de software de una 32 o se elige la versión de 64 bits. Los analistas descubrieron que las muestras ransomware Mambo otorgan los privilegios de servicios públicos DiskCryptor para acceder a todos los componentes críticos del sistema operativo.
Una vez que se han realizado todos los pasos del gestor de arranque se borra y el sistema operativo ya no es accesible. El mensaje ransomware Mamba está codificado en el propio cargador sobrescribe. Una de las muestras capturadas lee la siguiente nota:
Sus datos cifrados, Para contct clave ( мсrypt2017@yandex.com O citrix2234@protonмail.com) Tu identificación: 721, Introducir clave:
Las muestras capturadas revelan que los usuarios están usando dos direcciones de correo electrónico: una de las alojado en Yandex y el otro en protonmail. Las imágenes que se exhiben algunas de las cartas son en realidad desde el alfabeto cirílico, combinado con el hecho de que una bandeja de entrada está alojado en Yandex, revela el hecho de que los delincuentes pueden ser de habla rusa.
Para obtener más información y prevenir eficazmente las infecciones lea nuestra guía completa eliminación.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: