Il Mamba ransomware noto che ha paralizzato l'Agenzia Municipale Trasporti di San Francisco nel 2016 è riemerso. Questa volta i criminali dietro gli attacchi su larga scala hanno riorientato la loro attenzione su aziende di tutto il mondo.
Mamba ransomware riattivato Once Again
Uno dei virus noti che è riemerso in una nuova campagna attacco su larga scala è il famigerato ransomware Mamba. Gli esperti di sicurezza hanno notato l'onda in ingresso in una serie di tentativi di intrusione contro le multinazionali di tutto il mondo. L'attenzione si è spostata sembra essere una nuova strategia ideata dai criminali dietro la campagna. Non è noto se l'attacco corrente è sostenuta dagli stessi criminali di prima o di una nuova collettiva è emerso. Il Mamba ransomware noto principalmente per la sua HDDCRyptor malware è stato in grado di provocare metropolitana di attacchi devastanti San Francisco lo scorso anno.
I primi attacchi importanti connessi con la minaccia è accaduto nel mese di settembre 2016 quando gli esperti provenienti da Morphus Labs avvisato che i campioni di virus sono stati scoperti su sistemi di proprietà di una grande azienda di energia in Brasile, che ha anche filiali negli Stati Uniti e in India.
Mamba ransomware Attacchi Corporations in tutto il mondo
Gli esperti di sicurezza rivelano che le principali vittime degli attacchi sembrano essere le grandi aziende e gli uffici aziendali situati in Brasile e Arabia Saudita. Si prevede che l'elenco possa crescere ad altri paesi e regioni, nonché.
Mamba ransomware segue le ben note vettori di attacco associati con le versioni precedenti. Esso utilizza un modello di infezione a due stadi che cerca di infiltrarsi nella rete di computer prima. Quando questo è fatto il psexec utilità viene utilizzato per eseguire il malware sugli host di destinazione. L'analisi completa mostra che i campioni ransomware Mamba impostare l'ambiente del sistema come definito dalle hacker:
- Il fase di preparazione crea una cartella sulla partizione di sistema principale (C:) detto “xampp” e una sottodirectory chiamata “http”. Questo è un riferimento al famoso pacchetto di web hosting frequentemente usato dagli amministratori di sistema. Impostazione di un percorso come questo può indicare un impianto legittima XAMPP con un server web. Come gli host di destinazione probabilmente hanno servizi installati questo non avrebbe sollevato sospetti.
- Il DiskCryptor utilità è quindi copiato nella nuova cartella e il driver di Windows specializzata è installato sul computer della vittima. Un servizio è registrato come un servizio di sistema chiamato DefragmentService. Una volta fatto questo la macchina viene riavviato e viene avviato il servizio ransomware Mamba.
- Avanti il crittografia viene avviato processo. Come il servizio DiskCryptor viene avviato al servizio di avvio è in grado di configurare erroneamente il bootloader e interesserà tutte le partizioni di sistema disponibili.
Durante l'infezione fase i raccolti virus informazioni dettagliate sul computer host. A seconda della componenti hardware e software di configurazione di un 32 o versione a 64 bit viene scelto. Gli analisti hanno scoperto che i campioni ransomware Mambo concedere i privilegi di utilità DiskCryptor per l'accesso a tutti i componenti critici del sistema operativo.
Una volta apportate tutte le fasi del bootloader viene cancellata e il sistema operativo non è più accessibile. Il messaggio ransomware Mamba è insita nel caricatore sovrascritto in sé. Uno dei campioni acquisiti legge la seguente nota:
Il tuo dati crittografati, Contct per la chiave ( мсrypt2017@yandex.com OR citrix2234@protonмail.com) La tua carta d'identità: 721, Tasto Invio:
I campioni catturati rivelano che gli utenti utilizzano due indirizzi e-mail: uno dei più ospitato su Yandex e l'altra sulla Protonmail. Le immagini vetrina che alcune delle lettere sono in realtà dal cirillico, combinato con il fatto che una casella di posta è ospitato su Yandex, rivela il fatto che i criminali possono essere di lingua russa.
Per saperne di più e in modo efficace prevenire le infezioni leggere la nostra guida completa rimozione.