Nasty Mamba ransomware qui crypte le disque dur entier refait surface

Mamba Ransomware refait surface au Brésil et en Arabie Saoudite avec des objectifs néfastes

L'année dernière, nous vous avons informé de Mamba ransomware qui a attaqué des ordinateurs à travers le monde et a été détecté par l'équipe de recherche Morphus Labs. Mamba (un serpent africain grand, agile et très venimeux dans la vraie vie) était tellement dangereux qu'il a chiffré l'ensemble du disque dur, pas seulement quelques fichiers. Ce logiciel malveillant basé sur Windows infectait les ordinateurs aux États-Unis, en Inde et au Brésil. Il a été parmi les premiers échantillons de ransomware qui ont chiffré le disque dur et lancé des attaques contre des organisations, y compris l'attaque de ransomware de haut niveau sur SFMTA (San Francisco Municipal Transportation Agency).

Les chercheurs de Kaspersky Lab ont identifié la réémergence de l'infection à Mamba au Brésil et en Arabie Saoudite. Cela signifie que les agresseurs déguisent maintenant le sabotage dans le ransomware, ce qui n'est pas une nouvelle pratique, car les attaquants ont utilisé la même stratégie chez Petya et Mischa en 2016. Cependant, les attaques ont connu une hausse sans précédent en 2017 avec l'émergence d'ExPetr / Les attaques de logiciels malveillants de nettoyage NotPetya. Les auteurs de la nouvelle vague de ransomware Mamba sont encore inconnus; En ce moment, il n'est pas clair si une bande criminelle est derrière les attaques ou un État-nation les parrainant. Mamba est tout à fait différent des attaques ExPetr / NotPetya puisque les victimes ne peuvent pas récupérer leurs systèmes informatiques. ExPetr utilise une clé générée de manière aléatoire pour chiffrer le système ciblé et ne sauvegarde pas la clé pour le décryptage ultérieurement. Par conséquent, on peut l'appeler Wiper, a expliqué le chercheur de Kaspersky Lab, Orkhan Memedov

À l'inverse, Mamba passe la clé du Trojan comme argument de ligne de commande, ce qui signifie que l'attaquant possède la clé et peut déchiffrer la machine. Lorsque le malware infecte une machine basée sur Windows, le Trojan écrase l'enregistrement de démarrage principal via un MBR personnalisé et crypte le disque dur. Cela s'effectue grâce à un utilitaire de chiffrement de disque complet open source, connu sous le nom de DiskCryptor.

Kaspersky Lab a également publié une note de rançon qui prouve que, contrairement aux infections originales de Mamba, la dernière vague de logiciels malveillants ne requiert pas de l'argent, mais ne crypte que les données et envoie deux adresses électroniques avec un numéro d'identification pour récupérer la clé de cryptage. Il n'existe aucun moyen de déchiffrer les données car DiskCryptor est un utilitaire légitime qui utilise des algorithmes de cryptage extrêmement forts.

Le rapport de Kaspersky Lab suggère que les auteurs des attaques de Mamba les plus récentes en Arabie Saoudite et au Brésil utilisent l'utilité PSEXEC pour l'exécution du malware sur le réseau de l'entreprise, qui est le même utilitaire utilisé dans les attaques de logiciels malveillants ExPetr. Les attaques sont également assez similaires aux attaques de Petya. En bout de ligne, le but derrière les dernières attaques est la destruction et le profit, car le fonctionnement du malware est défectueux et les victimes ne peuvent pas récupérer les fichiers. Le but réel est d'éliminer les données stockées sur les disques durs des ordinateurs ciblés. Kaspersky Lab indique que les attaques se produisent en deux étapes, dans la première étape, DiskCryptor est stocké dans un dossier créé et installé par le logiciel malveillant. Un service système nommé DefragmentService est également enregistré pour assurer la persistance. La machine ciblée est ensuite redémarré. La deuxième étape crée le nouveau chargeur de démarrage, et dans cette étape, les partitions de disque sont cryptées via DiskCryptor. Le système est ensuite redessiné. Le rapport explique en outre que, pour chaque machine sur le réseau cible, un mot de passe est généré par l'acteur de la menace pour l'utilitaire DiskCryptor. Le mot de passe est transmis à travers les arguments de la ligne de commande pour atteindre le compte-gouttes Ransomware. Pour vous protéger de Mamba et d'autres attaques de ransomware, vérifiez notre «How To» exclusif et approfondi pour s'attaquer à ces menaces. Restez en sécurité en ligne.