Το FBI αποκαλύπτει ένα αδύναμο σημείο του Mamba ransomware

On

Μαρ 26, 2021

Μια

ειδοποίηση

από το Ομοσπονδιακό Γραφείο Ερευνών (FBI) των

ΗΠΑ

σχετικά με το Mamba

ransomware

αποκαλύπτει ένα αδύναμο σημείο στη διαδικασία κρυπτογράφησης που θα μπορούσε να βοηθήσει τους στοχευμένους οργανισμούς να ανακάμψουν από την

επίθεση

χωρίς να πληρώσουν τα λύτρα που ζητούν οι

χάκερ

.

MAMBA RANSOMWARE - Το FBI αποκαλύπτει ένα αδύναμο σημείο του Mamba ransomware — Πηγή φωτογραφίας: Ophtek

Το FBI προειδοποιεί ότι οι

επιθέσεις

Mamba

ransomware

έχουν απευθυνθεί σε οντότητες του δημόσιου και του ιδιωτικού τομέα, συμπεριλαμβανομένων των τοπικών κυβερνήσεων, μεταφορικών γραφείων, νομικών υπηρεσιών, τεχνολογικών υπηρεσιών, βιομηχανικών, εμπορικών, μεταποιητικών και κατασκευαστικών επιχειρήσεων.

Δείτε επίσης:

FBI: Προειδοποιεί για αυξημένες

επιθέσεις

του Pysa

ransomware

σε εκπαιδευτικά ιδρύματα

Το Mamba

ransomware

(γνωστό και ως HDDCryptor) βασίζεται σε μια λύση λογισμικού ανοιχτού κώδικα που ονομάζεται DiskCryptor για την κρυπτογράφηση των υπολογιστών των θυμάτων στο παρασκήνιο με ένα κλειδί που ορίζεται από τον εισβολέα.

Το FBI εξηγεί ότι η εγκατάσταση του

DiskCryptor

απαιτεί επανεκκίνηση του συστήματος για την προσθήκη των απαραίτητων driver, η οποία συμβαίνει περίπου δύο λεπτά μετά την ανάπτυξη του προγράμματος.

Το FBI σημειώνει επίσης ότι το κλειδί κρυπτογράφησης και η μεταβλητή χρόνου τερματισμού αποθηκεύονται στο configuration του DiskCryptor, ένα αρχείο plaintext που ονομάζεται myConf.txt.

Δείτε επίσης:

FBI:

Οι

απώλειες

από το

κυβερνοέγκλημα

ανήλθαν στα $4,2 δισ. το 2020!

Μια δεύτερη επανεκκίνηση του συστήματος πραγματοποιείται μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης, περίπου δύο ώρες αργότερα και το σημείωμα για τα λύτρα καθίσταται διαθέσιμο.

Επειδή δεν υπάρχει

προστασία

γύρω από το κλειδί κρυπτογράφησης, καθώς είναι αποθηκευμένο σε απλό κείμενο, το FBI λέει ότι αυτό το δίωρο κενό είναι μια ευκαιρία για τους οργανισμούς που πλήττονται από το Mamba

ransomware

για να το ανακτήσουν.

Η επιχείρηση πίσω από το Mamba

ransomware

άρχισε να αυξάνει τη δραστηριότητά της με μια νέα παραλλαγή που βρέθηκε το δεύτερο εξάμηνο του 2019. Παρά το γεγονός ότι δεν έχει πρόγραμμα affiliate, ήταν μεταξύ των κορυφαίων απειλών.

Μάθετε επίσης:

FBI-CISA:

Phishing

emails

διανέμουν γνωστό

malware

Σε μια αναφορά της Coveware, στο πρώτο τρίμηνο του περασμένου έτους το Mamba βρισκόταν ανάμεσα στις πέντε πιο σημαντικές απειλές

ransomware

– στις κορυφαίες θέσεις ήταν τα REvil και Ryuk. Αυτό άλλαξε το τέταρτο τρίμηνο του 2020, αν και συνέχισε να είναι αξιοσημείωτα κίνδυνο.

Μια ιδιαιτερότητα του Mamba

ransomware

είναι ότι αντικαθιστά την κύρια εγγραφή εκκίνησης του δίσκου (MBR), εμποδίζοντας την πρόσβαση σε κρυπτογραφημένα αρχεία στη μονάδα δίσκου. Αυτό καθιστά πιο δύσκολη την

παρακολούθηση

του αριθμού των επιθέσεων, καθώς τα αρχεία δεν μπορούν να αναλυθούν μέσω αυτοματοποιημένων υπηρεσιών όπως το ID-

Ransomware

.