O ransomware Mamba notório que paralisou a Agência Municipal de Transporte San Francisco volta 2016 ressurgiu. Desta vez, os criminosos por trás dos ataques de grande escala têm reorientado a sua atenção sobre corporações ao redor do mundo.
Mamba Ransomware reativado mais uma vez
Um dos vírus conhecidos que ressurgiu em uma nova campanha de ataque em larga escala é o infame ransomware Mamba. Especialistas em segurança notaram a onda de entrada em uma série de tentativas de invasão contra corporações em todo o mundo. A mudança de foco parece ser uma nova estratégia elaborada pelos criminosos por trás da campanha. Não se sabe se o ataque atual é apoiado pelos mesmos criminosos de antes ou se um novo coletivo surgiu. O ransomware Mamba conhecido principalmente por seu malware HDDCRyptor foi capaz de causar ataques devastadores no metrô de São Francisco no ano passado.
Os primeiros grandes ataques associados à ameaça aconteceram em setembro 2016 quando especialistas da Morphus Labs alertaram que as amostras de vírus foram descobertas em sistemas de uma grande empresa de energia no Brasil que também tem filiais nos Estados Unidos e na Índia.
Mamba Ransomware ataca corporações em todo o mundo
Os especialistas em segurança revelam que as principais vítimas dos ataques parecem ser grandes corporações e escritórios de empresas localizados em Brasil e Arábia Saudita. Espera-se que a lista possa crescer para outros países e regiões também.
Mamba ransomware segue os conhecidos vetores de ataque associados a versões anteriores. Ele usa um padrão de infecção de dois estágios que procura se infiltrar na rede de computadores primeiro. Quando isso é feito, o psexec utilitário é usado para executar o malware nos hosts de destino. A análise completa mostra que as amostras de ransomware Mamba configuram o ambiente no sistema conforme definido pelos hackers:
- o estágio de preparação cria uma pasta na partição principal do sistema (C:) chamado “xampp” e um subdiretório chamado “http”. Esta é uma referência ao famoso pacote de hospedagem na web usado frequentemente por administradores de sistema. Configurar um caminho como este pode indicar uma instalação legítima do XAMPP com um servidor web. Como os hosts de destino provavelmente têm serviços instalados, isso não levantaria suspeitas.
- o DiskCryptor utilitário é então copiado para a nova pasta e o driver especializado do Windows é instalado no computador da vítima. Um serviço é registrado como um serviço do sistema chamado DefragmentService. Assim que isso for feito, a máquina é reiniciada e o serviço de ransomware Mamba é iniciado.
- Próximo a criptografia processo é iniciado. Como o serviço DiskCryptor é iniciado no serviço de inicialização, ele pode configurar incorretamente o carregador de inicialização e afetar todas as partições do sistema disponíveis.
Durante a fase de infecção, o vírus coleta informações detalhadas sobre o computador host. Dependendo dos componentes de hardware e configuração de software, um 32 ou a versão de 64 bits é escolhida. Os analistas descobriram que as amostras do ransomware Mambo concedem privilégios ao utilitário DiskCryptor para acessar todos os componentes críticos do sistema operacional.
Uma vez que todas as etapas foram feitas, o bootloader é apagado e o sistema operacional não está mais acessível. A mensagem do ransomware Mamba é codificada no próprio carregador substituído. Uma das amostras capturadas lê a seguinte nota:
Seus dados criptografados, Contato para chave ( мсrypt2017@yandex.com OU citrix2234@protonмail.com) Sua identificação: 721, Tecla Enter:
As amostras capturadas revelam que os usuários estão usando dois endereços de e-mail: um dos hospedado no Yandex e o outro no Protonmail. As imagens mostram que algumas das letras são, na verdade, do alfabeto cirílico, combinado com o fato de que uma caixa de entrada está hospedada no Yandex, revela o fato de que os criminosos podem ser falantes de russo.
Para saber mais e prevenir infecções de forma eficaz leia nosso guia completo de remoção.