Casa > Cyber ​​Notizie > Large-Scale Mamba Ransomware Attacks on the Rise Again
CYBER NEWS

Su larga scala attacchi ransomware Mamba di nuovo in aumento

immagine Mamba ransomware optional

Il Mamba ransomware noto che ha paralizzato l'Agenzia Municipale Trasporti di San Francisco nel 2016 è riemerso. Questa volta i criminali dietro gli attacchi su larga scala hanno riorientato la loro attenzione su aziende di tutto il mondo.

Mamba ransomware riattivato Once Again

Uno dei virus noti che è riemerso in una nuova campagna attacco su larga scala è il famigerato ransomware Mamba. Gli esperti di sicurezza hanno notato l'onda in ingresso in una serie di tentativi di intrusione contro le multinazionali di tutto il mondo. L'attenzione si è spostata sembra essere una nuova strategia ideata dai criminali dietro la campagna. Non è noto se l'attacco corrente è sostenuta dagli stessi criminali di prima o di una nuova collettiva è emerso. Il Mamba ransomware noto principalmente per la sua HDDCRyptor malware è stato in grado di provocare metropolitana di attacchi devastanti San Francisco lo scorso anno.

Story correlati: SF Subway Hit da Cryptom HDDCryptor ransomware - I passeggeri viaggiano gratis

I primi attacchi importanti connessi con la minaccia è accaduto nel mese di settembre 2016 quando gli esperti provenienti da Morphus Labs avvisato che i campioni di virus sono stati scoperti su sistemi di proprietà di una grande azienda di energia in Brasile, che ha anche filiali negli Stati Uniti e in India.

Mamba ransomware Attacchi Corporations in tutto il mondo

Gli esperti di sicurezza rivelano che le principali vittime degli attacchi sembrano essere le grandi aziende e gli uffici aziendali situati in Brasile e Arabia Saudita. Si prevede che l'elenco possa crescere ad altri paesi e regioni, nonché.

Mamba ransomware segue le ben note vettori di attacco associati con le versioni precedenti. Esso utilizza un modello di infezione a due stadi che cerca di infiltrarsi nella rete di computer prima. Quando questo è fatto il psexec utilità viene utilizzato per eseguire il malware sugli host di destinazione. L'analisi completa mostra che i campioni ransomware Mamba impostare l'ambiente del sistema come definito dalle hacker:

  1. Il fase di preparazione crea una cartella sulla partizione di sistema principale (C:) detto “xampp” e una sottodirectory chiamata “http”. Questo è un riferimento al famoso pacchetto di web hosting frequentemente usato dagli amministratori di sistema. Impostazione di un percorso come questo può indicare un impianto legittima XAMPP con un server web. Come gli host di destinazione probabilmente hanno servizi installati questo non avrebbe sollevato sospetti.
  2. Il DiskCryptor utilità è quindi copiato nella nuova cartella e il driver di Windows specializzata è installato sul computer della vittima. Un servizio è registrato come un servizio di sistema chiamato DefragmentService. Una volta fatto questo la macchina viene riavviato e viene avviato il servizio ransomware Mamba.
  3. Avanti il crittografia viene avviato processo. Come il servizio DiskCryptor viene avviato al servizio di avvio è in grado di configurare erroneamente il bootloader e interesserà tutte le partizioni di sistema disponibili.

Durante l'infezione fase i raccolti virus informazioni dettagliate sul computer host. A seconda della componenti hardware e software di configurazione di un 32 o versione a 64 bit viene scelto. Gli analisti hanno scoperto che i campioni ransomware Mambo concedere i privilegi di utilità DiskCryptor per l'accesso a tutti i componenti critici del sistema operativo.

Una volta apportate tutte le fasi del bootloader viene cancellata e il sistema operativo non è più accessibile. Il messaggio ransomware Mamba è insita nel caricatore sovrascritto in sé. Uno dei campioni acquisiti legge la seguente nota:

Il tuo dati crittografati, Contct per la chiave ( мсrypt2017@yandex.com OR citrix2234@protonмail.com) La tua carta d'identità: 721, Tasto Invio:

I campioni catturati rivelano che gli utenti utilizzano due indirizzi e-mail: uno dei più ospitato su Yandex e l'altra sulla Protonmail. Le immagini vetrina che alcune delle lettere sono in realtà dal cirillico, combinato con il fatto che una casella di posta è ospitato su Yandex, rivela il fatto che i criminali possono essere di lingua russa.

Story correlati: TrickBot Banking Trojan Aggiornato: WannaCry-Inspired Module ora attivo

Per saperne di più e in modo efficace prevenire le infezioni leggere la nostra guida completa rimozione.

Avatar

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...