Mamba, Full-Disk-Encryption Ransomware

Con la presente Yoroi desidera comunicarLe sono stati recentemente rilevati attacchi Ransomware portati con una nuova minaccia denominata “Mamba”. Questa tipologia di minaccia utilizza una tecnica di cifratura differente da quanto osservato nella maggioranza delle infezioni Ransomware: attua una cifratura completa del disco fisico (Full-Disk-Encryption).

Il flusso di infezione utilizzato da Mamba si svolge come segue:

1. Il ransomware viene eseguito sulla macchina vittima e crea una cartella in c:\ contenente vari eseguibili (e.g. C:\DC22)
2. Il ransomware crea una nuova utenza nel sistema, un nuovo servizio ed installa driver relativi allo strumento di cifratura DiskCryptor
3. Viene eseguito un riavvio della macchina
4. Al riavvio la macchina risulta ancora accessibile, tuttavia Mamba esegue il processo silente di cifratura del disco.
5. Al termine del processo di cifratura il ransomware rimane silente e l'infezione non presenta effetti fino al prossimo riavvio
6. Al riavvio della macchina il disco fisico risulta completamente cifrato e viene richiesto di contattare un indirizzo email per i dettagli del pagamento (figura in seguito)

Figura 1 – Esempio schermata di richiesta di riscatto mostrata al boot

La cifratura utilizzata dal Ransomware è forte, pertanto occorre conoscere la chiave per effettuare la decifratura, tuttavia all'interno dei file creati durante il processo di infezione è presente un file di log “log_file.txt” che contiene la password di cifratura utilizzata. In caso di infezione è molto importante recuperare tale file prima dell'ultimo step del flusso di attacco, ovvero l'ultimo riavvio della macchina: in tale modo è possibile decifrare il disco prima che venga effettuata la richiesta di riscatto.

Le evidenze attuali indicano attacchi Mamba portati a termine con successo nell'area LATAM, con enfasi sul Brasile.

Alcune delle caratteristiche di questo Ransomware come metodo e messaggi di pagamento, l'uso di configurazioni statiche e la tipologia di cifratura indicano che i bersagli più probabili di questo genere di attacco siano macchine server compromesse a seguito di accessi abusivi operati in precedenti fasi di attacco. A questo proposito Yoroi consiglia di monitorare le attività all'interno dei vostri server, con particolare riguardo agli host raggiungibili dall'esterno, al fine di rilevare eventuali cartelle sospette all'interno del disco C:\ legate ad infezioni Mamba in corso prima di un eventuale riavvio.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MATP (Managed Advanced Threat Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index