再び上昇する大規模なマンバランサムウェア攻撃

サンフランシスコ市交通局を麻痺させた悪名高いマンバランサムウェア 2016 再浮上しました. 今回、大規模な攻撃の背後にいる犯罪者は、世界中の企業に再び注意を向けました。.

マンバランサムウェアが再びアクティブ化されました

新しい大規模な攻撃キャンペーンで再浮上した有名なウイルスの1つは、悪名高いMambaランサムウェアです。. セキュリティの専門家は、世界中の企業に対する一連の侵入の試みの到来に気づきました. 焦点のシフトは、キャンペーンの背後にいる犯罪者によって考案された新しい戦略のようです. 現在の攻撃が以前と同じ犯罪者によって支援されているのか、新しい集団が出現したのかは不明です. 主にマルウェアHDDCRyptorで知られるMambaランサムウェアは、昨年サンフランシスコの地下鉄に壊滅的な攻撃を仕掛けることができました。.

脅威に関連する最初の主要な攻撃は9月に発生しました 2016 Morphus Labsの専門家が、米国とインドにも支店を持つブラジルの大手エネルギー会社が所有するシステムでウイルスサンプルが発見されたと警告したとき.

Mambaランサムウェアが世界中の企業を攻撃

セキュリティの専門家は、攻撃の主な被害者は、 ブラジル と サウジアラビア. リストは他の国や地域にも拡大する可能性があります.

Mambaランサムウェアは、以前のバージョンに関連するよく知られた攻撃ベクトルに従います. これは、最初にコンピュータネットワークに侵入しようとする2段階の感染パターンを使用します. これが行われると psexec ユーティリティは、ターゲットホストでマルウェアを実行するために使用されます. 完全な分析は、Mambaランサムウェアサンプルがハッカーによって定義されたシステム上の環境をセットアップしたことを示しています:

1. The 準備段階 メインシステムパーティションにフォルダを作成します (C:) と呼ばれる “xampp” と呼ばれるサブディレクトリ “http”. これは、システム管理者が頻繁に使用する有名なWebホスティングパッケージへの参照です. このようなパスを設定すると、Webサーバーを使用した正当なXAMPPのインストールを示している可能性があります. ターゲットホストにはおそらくサービスがインストールされているので、これは疑惑を引き起こしません.
2. The DiskCryptor 次に、ユーティリティが新しいフォルダにコピーされ、専用のWindowsドライバが被害者のコンピュータにインストールされます. サービスは、と呼ばれるシステムサービスとして登録されます DefragmentService. これが完了すると、マシンが再起動され、Mambaランサムウェアサービスが開始されます.
3. 次は 暗号化 プロセスが開始されます. DiskCryptorサービスはブートサービスで開始されるため、ブートローダーを誤って構成し、使用可能なすべてのシステムパーティションに影響を与える可能性があります.

感染フェーズ中に、ウイルスはホストコンピュータに関する詳細情報を収集します. ハードウェアコンポーネントとソフトウェア構成に応じて、 32 または64ビットバージョンが選択されています. アナリストは、Mamboランサムウェアのサンプルが、すべての重要なオペレーティングシステムコンポーネントにアクセスするためのDiskCryptorユーティリティ特権を付与することを発見しました。.

すべての手順が完了すると、ブートローダーが消去され、オペレーティングシステムにアクセスできなくなります。. Mambaランサムウェアメッセージは、上書きされたローダー自体にハードコードされています. キャプチャされたサンプルの1つは、次のメモを読み取ります:

暗号化されたデータ, キーの連絡先 ( мсrypt2017@yandex.comまたはcitrix2234@protonмail.com) あなたのID: 721, キーを入力してください:

キャプチャされたサンプルは、ユーザーが2つの電子メールアドレスを使用していることを示しています: 1つはYandexでホストされ、もう1つはProtonmailでホストされています. 画像は、文字の一部が実際にはキリル文字からのものであることを示しています, 受信トレイがYandexでホストされているという事実と組み合わせる, 犯罪者がロシア語を話す可能性があるという事実を明らかにする.

より多くを見つけて効果的に感染を防ぐために 完全な取り外しガイドを読む.