Huis > Cyber ​​Nieuws > Large-Scale Mamba Ransomware Attacks on the Rise Again
CYBER NEWS

Large-Scale Mamba Ransomware Aanvallen op de Rise Again

Mamba ransomware Featured Image

De beruchte Mamba ransomware dat de San Francisco Municipal Transportation Agency in verlamd terug 2016 heeft opgedoken. Dit keer is de criminelen achter de grootschalige aanvallen hebben hun aandacht toegespitst op bedrijven over de hele wereld.

Mamba Ransomware opnieuw geactiveerd Once Again

Een van de bekende virussen die is opgedoken in een nieuwe grootschalige aanslag campagne is de beruchte Mamba ransomware. Security experts merkte de inkomende golf in een reeks van inbraakpogingen tegen bedrijven wereldwijd. De verschoof de focus lijkt een nieuwe strategie moet worden bedacht door de criminelen achter de campagne. Het is niet bekend of de huidige aanslag zoals hiervoor wordt ondersteund door dezelfde criminelen of nieuwe collectief ontstaan. De Mamba ransomware vooral bekend om zijn malware HDDCRyptor kon vorig jaar metro verwoestende aanvallen van San Francisco's veroorzaken.

Verwante Story: SF Subway Hit door Cryptom HDDCryptor Ransomware - Passagiers Ride gratis

De eerste grote aanslagen in verband met de dreiging gebeurde in september 2016 Als deskundigen uit Morphus Labs gewaarschuwd dat het virus monsters werden ontdekt op systemen die eigendom zijn van een groot energiebedrijf in Brazilië, die ook vestigingen in de Verenigde Staten en India.

Mamba Ransomware Aanvallen Corporations Worldwide

De security experts blijkt dat de voornaamste slachtoffers van de aanslagen lijken te grote bedrijven en het bedrijf kantoren in zijn Brazilië en Saudi-Arabië. De verwachting is dat de lijst kan groeien naar andere landen en regio's, alsmede.

Mamba ransomware volgt de bekende aanvalsvectoren geassocieerd met eerdere versies. Het maakt gebruik van een tweetraps infectie patroon dat wil infiltreren het computernetwerk eerste. Wanneer dit wordt gedaan de psexec hulpprogramma wordt gebruikt om de malware te voeren op de doelhosts. De volledige analyse blijkt dat de Mamba ransomware monsters instellen van de omgeving op het systeem zoals gedefinieerd door hackers:

  1. Het voorbereidingsfase maakt een map op de belangrijkste systeempartitie (C:) genoemd “xampp” en een subdirectory met de naam “http”. Dit is een verwijzing naar de beroemde web hosting pakket vaak gebruikt door systeembeheerders. Het opzetten van een dergelijke route kan een legitieme XAMPP installatie met een web-server aan te geven. Als het doel hosts waarschijnlijk diensten geïnstalleerd zou dit niet vermoeden verhogen.
  2. Het DiskCryptor hulpprogramma wordt vervolgens gekopieerd naar de nieuwe map en de gespecialiseerde Windows-driver is geïnstalleerd op het slachtoffer computer. Een dienst wordt geregistreerd als een systeem service genaamd DefragmentService. Zodra dit is gebeurd de machine wordt opnieuw opgestart en de Mamba ransomware dienst wordt geïnitieerd.
  3. Vervolgens wordt de encryptie wordt gestart. Zoals de DiskCryptor service wordt gestart bij het opstarten dienst is in staat om de bootloader verkeerd instellen en hebben invloed op alle beschikbare systeempartities.

Tijdens de infectie fase het virus oogsten gedetailleerde informatie over de host computer. Afhankelijk van de hardwarecomponenten en softwareconfiguratie een 32 of 64-bits versie wordt gekozen. De analisten ontdekt dat de Mambo ransomware monsters verlenen de DiskCryptor hulpprogramma privileges voor toegang tot alle kritieke onderdelen van het besturingssysteem.

Zodra alle stappen zijn gezet de bootloader wordt gewist en het besturingssysteem niet meer toegankelijk. De Mamba ransomware bericht hardcoded in de lader zelf overschreven. Een van de gevangen monsters leest de volgende opmerking:

Uw gegevens die zijn gecodeerd, Contct Voor Key ( мсrypt2017@yandex.com OR citrix2234@protonмail.com) Je identiteitskaart: 721, Enter toets:

De gevangen genomen monsters blijkt dat de gebruikers met behulp van twee e-mailadressen: één van de gehost op Yandex en de andere op Protonmail. De beelden showcase dat sommige van de letters zijn eigenlijk van het Cyrillische alfabet, gecombineerd met het feit dat een inboxop Yandex wordt gehost, onthult het feit dat de criminelen kunnen zijn Russisch-sprekende.

Verwante Story: TrickBot Banking Trojan Bijgewerkt: WannaCry-geïnspireerde Module nu actief

Voor meer informatie en effectief te voorkomen dat infecties Lees onze volledige verwijdering gids.

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...