Авторизация  
Wingy Bullet

Криптовымогатель Mamba вернулся

В теме 1 сообщение


Mamba был одним из первых криптовымогателей, которые шифровали не файлы по отдельности, а сразу весь жесткий диск. Также этот шифровальщик примечателен тем, что он ответственен за весьма масштабную атаку на транспортную систему Сан-Франциско в прошлом ноябре.



Некоторое время про «Мамбу» не было слышно, но вчера эксперты Лаборатории Касперского опубликовали отчет, согласно которому новая волна заражений этим шифровальщиком замечена в Бразилии и Саудовской Аравии.



Не исключено, что новые атаки Mamba — это продолжение тренда маскировки атак с целью саботажа под заражения шифровальщиками-вымогателями. Начало данному тренду положили Petya и Mischa в 2016 году, а апогея он достиг этим летом, с атаками вайпера ExPetr/NotPetya. Кто стоит за новыми заражениями Mamba пока не известно — это могут быть как спонсируемые спонсируемые государством хакеры, так и обычная киберкриминальная организация.



Во вчерашнем докладе исследователи Лаборатории Касперского Хуан-Андрес Герреро-Сааде и Брайан Бартоломью предсказали, что этот тренд продолжится.



«Допустим, у кого-то есть необходимость устроить кибератаку с целью саботажа и он собирается замаскировать это под атаку шифровальщика или еще под что-то такое, что потенциально поддается лечению. Это не так уж сильно отличается от того, что группировка Lazarus делала с Sony или с жертвами из Южной Кореи: сначала они вымогали деньги, а потом в любом случае выкладывали похищенные у жертв компрометирующие данные,» — говорит Герреро-Сааде.



Изначально о трояне Mamba стало известно в сентябре 2016 года, когда исследователи из Morphus Labs рассказали, что обнаружили его на компьютерах, принадлежащих бразильской энергетической компании с подразделениями в США и Индии. Как только шифровальщик заражает компьютер на Windows, он меняет главную загрузочную запись (MBR) на собственную и шифрует весь жесткий диск, используя легитимную утилиту с открытым кодом под названием DiskCryptor.



После этого он выводит сообщение, которое не содержит никаких требований выкупа. Выводится только пара адресов электронной почты и идентификационный номер, который требуется для получения ключа.



К сожалению, восстановить файлы самостоятельно, без получения ключа от преступников, не получится. Утилита DiskCryptor использует надежное шифрование, которое не удастся каким-то образом обойти или взломать.



Также из отчета Лаборатории Касперского следует, что в ходе атак Mamba на организации в Бразилии И Саудовской Аравии используется еще одна легитимная утилита, PSEXEC — она применяется для запуска зловреда внутри корпоративной сети жертвы. Эта утилита была одним из важнейших компонентов атаки ExPetr, которая, в свою очередь, имела немало общего с более ранними атаками Petya.



Атака происходит в два этапа. На первом этапе зловред загружает и устанавливает DiskCryptor. На том же этапе он регистрирует системный сервис с звучащим правдоподобно названием DefragmentService и перезагружает систему.



На втором этапе троян меняет загрузчик на собственный, после чего запускается утилита DiskCryptor, файлы шифруются и система снова перез-агружается.



В отличие от жертв шифровальщика ExPetr, которые вряд ли когда-либо смогут восстановить зашифрованные данные, в случае Mamba надежда все же есть.



«Авторы вайперов не имеют возможности расшифровать файлы на компьютерах жертв. В качестве примера можно вспомнить ExPetr: для шифрования он использует случайно генерируемый ключ для шифрования файлов, однако этот ключ нигде не сохраняется и никуда не передается — создатели трояна не получают этого ключа, поэтому у них нет никакой возможности расшифровать данные,» — говорит Орхан Мамедов, исследователь Лаборатории Касперского. «Поэтому у нас есть все основания называть ExPetr вайпером. В случае Mamba все иначе: ключ выдается трояну в качестве одного из аргументов команды. Это значит, что у преступников этот ключ есть, так что теоретически они могут расшифровать файлы».



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация