Ransomware Mamba volta a atacar

Um velho conhecido voltou a atacar empresas no Brasil. Pesquisadores da Kaspersky detectaram uma nova onda do poderoso ransomware Mamba, famoso por ter interditado o transporte público de São Francisco no ano passado.

O Mamba é particularmente danoso por criptografar o disco rígido inteiro, em vez de alguns arquivos. Ele é semelhante aos malware Petya e Mischa, assim como o ExPetr, responsável pelo maior surto global dos últimos tempos.

Ainda não se sabe quem está por trás da nova onda de ataques contra companhias brasileiras -negócios na Arábia Saudita também estão sendo afetados.

Entrevistados pelo Threatpost, os pesquisadores da Kaspersky Lab Juan Andres Guerrero Saade e Brian Bartholomew afirmam que essa onda de sabotagem cibernética disfarçada de extorsão vai continuar.

“Digamos que temos todos os meios para um ataque de sabotagem e queremos disfarçá-lo como ransomware ou algo potencialmente tratável”, diz Saade. “Mas não é necessariamente diferente do que o Grupo Lazarus fez com a Sony, ou alguns outros alvos sul-coreanos, quando primeiro pediram dinheiro e depois despejaram os dados de qualquer maneira. É uma evolução particularmente preocupante”.

Ao contrário dos ataques do ExPetr, em que é improvável que as vítimas recuperarem suas máquinas, talvez não seja o caso com o Mamba.

“Criadores de malware wiper (destruidores) não são capazes de decifrar as máquinas das vítimas. O ExPetr, por exemplo, usa uma chave gerada aleatoriamente para codificar uma máquina, mas não a guarda”, disse Orkhan Memedov, pesquisador da Kaspersky. No entanto, no caso de Mamba, a chave deve ser passada para o trojan, significando que o criminoso conhece essa chave e, em teoria, é capaz de libertar a máquina”.

O Mamba surgiu em setembro de 2016, quando pesquisadores da Morphus Labs disseram que o malware foi detectado em uma empresa de energia no Brasil com subsidiárias nos EUA e Índia. Ao infectar uma máquina Windows, ele substitui o Registro de inicialização (MBR) por um personalizado e criptografa o disco rígido usando um utilitário de criptografia de HD de código aberto chamado DiskCryptor.

“O Mamba tem sido usado em ataques direcionados contra empresas e infraestruturas críticas inclusive no Brasil”, di o analista sênior de maware da Kaspersky no Brasil, Fabio Assolini. “Diferentemente das outras famílias de ransomware, ele impossibilita o uso da máquina comprometida, exibindo o pedido de resgate logo e cifrando o disco por completo. O uso de um utilitário legítimo na cifragem é outra prova de que os autores visam causar o maior dano possível”.

“Infelizmente, não há nenhuma maneira de decodificar dados criptografados com o DiskCryptor, porque ele usa algoritmos de criptografia fortes”, aponta relatório da Kaspersky.

Agradecemos ao Sérgio, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky

Comentários encerrados.

%d blogueiros gostam disto: