Casa > cibernético Notícias > Ataques Mamba Ransomware em grande escala em ascensão novamente
CYBER NEWS

Ataques Mamba ransomware em grande escala na ascensão outra vez

por   |  Last Update:  |  0 Comentários  

imagem caracterizada Mamba ransomware

O ransomware Mamba notório que paralisou a Agência Municipal de Transporte San Francisco volta 2016 ressurgiu. Desta vez, os criminosos por trás dos ataques de grande escala têm reorientado a sua atenção sobre corporações ao redor do mundo.

Mamba Ransomware reativado mais uma vez

Um dos vírus conhecidos que ressurgiu em uma nova campanha de ataque em larga escala é o infame ransomware Mamba. Especialistas em segurança notaram a onda de entrada em uma série de tentativas de invasão contra corporações em todo o mundo. A mudança de foco parece ser uma nova estratégia elaborada pelos criminosos por trás da campanha. Não se sabe se o ataque atual é apoiado pelos mesmos criminosos de antes ou se um novo coletivo surgiu. O ransomware Mamba conhecido principalmente por seu malware HDDCRyptor foi capaz de causar ataques devastadores no metrô de São Francisco no ano passado.

Story relacionado: SF Metro Atingido por Cryptom HDDCryptor ransomware - Passageiros andar de graça

Os primeiros grandes ataques associados à ameaça aconteceram em setembro 2016 quando especialistas da Morphus Labs alertaram que as amostras de vírus foram descobertas em sistemas de uma grande empresa de energia no Brasil que também tem filiais nos Estados Unidos e na Índia.

Mamba Ransomware ataca corporações em todo o mundo

Os especialistas em segurança revelam que as principais vítimas dos ataques parecem ser grandes corporações e escritórios de empresas localizados em Brasil e Arábia Saudita. Espera-se que a lista possa crescer para outros países e regiões também.

Mamba ransomware segue os conhecidos vetores de ataque associados a versões anteriores. Ele usa um padrão de infecção de dois estágios que procura se infiltrar na rede de computadores primeiro. Quando isso é feito, o psexec utilitário é usado para executar o malware nos hosts de destino. A análise completa mostra que as amostras de ransomware Mamba configuram o ambiente no sistema conforme definido pelos hackers:

  1. o estágio de preparação cria uma pasta na partição principal do sistema (C:) chamado “xampp” e um subdiretório chamado “http”. Esta é uma referência ao famoso pacote de hospedagem na web usado frequentemente por administradores de sistema. Configurar um caminho como este pode indicar uma instalação legítima do XAMPP com um servidor web. Como os hosts de destino provavelmente têm serviços instalados, isso não levantaria suspeitas.
  2. o DiskCryptor utilitário é então copiado para a nova pasta e o driver especializado do Windows é instalado no computador da vítima. Um serviço é registrado como um serviço do sistema chamado DefragmentService. Assim que isso for feito, a máquina é reiniciada e o serviço de ransomware Mamba é iniciado.
  3. Próximo a criptografia processo é iniciado. Como o serviço DiskCryptor é iniciado no serviço de inicialização, ele pode configurar incorretamente o carregador de inicialização e afetar todas as partições do sistema disponíveis.

Durante a fase de infecção, o vírus coleta informações detalhadas sobre o computador host. Dependendo dos componentes de hardware e configuração de software, um 32 ou a versão de 64 bits é escolhida. Os analistas descobriram que as amostras do ransomware Mambo concedem privilégios ao utilitário DiskCryptor para acessar todos os componentes críticos do sistema operacional.

Uma vez que todas as etapas foram feitas, o bootloader é apagado e o sistema operacional não está mais acessível. A mensagem do ransomware Mamba é codificada no próprio carregador substituído. Uma das amostras capturadas lê a seguinte nota:

Seus dados criptografados, Contato para chave ( мсrypt2017@yandex.com OU citrix2234@protonмail.com) Sua identificação: 721, Tecla Enter:

As amostras capturadas revelam que os usuários estão usando dois endereços de e-mail: um dos hospedado no Yandex e o outro no Protonmail. As imagens mostram que algumas das letras são, na verdade, do alfabeto cirílico, combinado com o fato de que uma caixa de entrada está hospedada no Yandex, revela o fato de que os criminosos podem ser falantes de russo.

Story relacionado: TrickBot Banking Trojan Atualizado: WannaCry-Inspirado Módulo Agora Ativo

Para saber mais e prevenir infecções de forma eficaz leia nosso guia completo de remoção.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. .Vírus Arquivos mamba (Phobos) – Remova O que é vírus de arquivos .mamba? O que é .Mamba ransomware? Lata...
  2. Mamba Ransomware Criptografa totalmente seu disco rígido usando DiskCryptor New Ransomware virus called Mamba also known as HDDCryptor has...
  3. Kraken ransomware e Fallout Exploit Kit usados ​​para ataques em larga escala O ransomware Kraken é uma das ameaças de vírus mais recentes..
  4. Mustang Panda chinês Hackers Lançamento ataques em larga escala Via Malware Documentos Um perigoso novo coletivo de hackers conhecido como Mustang Panda é....
  5. Os usuários do Instagram Sobre o Login cara, Large-Scale Hacking ataque suspeito Security reports indicate that Instagram users experience serious login issues...
  6. WordPress Blogs Botnet infecta em uma grande escala ataque A large WordPress botnet is currently attacking other blogs powered...
  7. COELHO MAU Vírus Ransomware – Como remover + recuperar arquivos Este artigo tem como objetivo mostrar como remover o...
  8. “Seus dados são criptografados!”Oni Virus - Como remover + Restaurar arquivos .oni Este artigo tem como objetivo ajudá-lo, mostrando como...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo