Iscriviti

Attenzione: è tornato il ransomware Mamba, più distruttivo che mai

Diverse aziende di sicurezza stanno mettendo in guardia gli internauti contro la ricomparsa del temibile ransomware "Mamba", che è solito criptare l'intero hard disk, impedendo l'avvio del sistema operativo, e chiedendo un cospicuo riscatto in BitCoin.

Internet e Social
Pubblicato il 11 agosto 2017, alle ore 13:20

Mi piace
14
0
Attenzione: è tornato il ransomware Mamba, più distruttivo che mai
Pubblicità

I virus informatici, proprio come quelli biologici, tendono – sovente – a riproporsi, in forma mutata, e con una rinnovata virulenza. A conferma di quest’assunto, in queste ore, diverse aziende di sicurezza hanno notato un ri-acutizzarsi degli attacchi condotti contro i PC tramite il ransomware “Mamba”.

Mamba si è affacciato alla ribalta, per la prima volta, nel Settembre del 2016, anche se i danni maggiori li ha totalizzati nel Novembre dello stesso anno, quando bloccò l’intera rete informatica dell’azienda pubblica dei trasporti di San Francisco (comunemente conosciuta come “SF Muni”), costringendo quest’ultima a far viaggiare gratis i propri pendolari per diverse ore. In quel caso, la campagna hacker fu scoperta dalla security house “Morpheus Labs”, che ne ravvisò l’azione, oltre che nel natio Brasile, anche nei vicini Stati Uniti, ed in India.

Qualcosa di simile sta accadendo anche in queste ore ma, oltre al Brasile, risultano essere coinvolte parecchie grosse aziende ed uffici in Arabia Saudita. Il modus operandi del ransomware Mamba è sempre lo stesso: si insinua in una Rete aziendale attraverso mail di phishing e, per mimetizzarsi, crea una cartella “xampp” – nel disco C del computer compromesso – in cui scaricare il codice malevolo: essendo “xampp” una piattaforma open source usata dagli amministratori di sistema per creare e gestire dei server web, non è inverosimile che, su alcuni computer, una directory del genere possa passare inosservata.

In seguito, “DiskCryptor”, un programma libero per la criptazione degli hard disk, viene installato in locale, mascherato come uno dei servizi di sistema cui più si è abituati, trattandosi di quello per la deframmentazione del disco fisso (“DefragmentService”): l’ignara vittima, anche controllando i servizi attivi, ravvisando un certo rallentamento del sistema, non vedrebbe altro che in azione un servizio di cui si fida a occhi chiusi. 

Peccato che, in seguito ad un riavvio del sistema, e dopo che è stato cambiato anche il settore di avvio del computer (MBR), l’intero hard disk sia stato criptato con vari algoritmi (un mix di AES, Serpent, e Twofish), e l’unica cosa che si possa fare è constatare un messaggio di allarme, che richiede l’inserimento di una password di sblocco. Ovviamente, per ottenere quest’ultima bisognerà scrivere ad alcuni indirizzi internet che, pur difficilmente rintracciabili (uno è supportato dalla crittografia di ProtonMail), lasciano intuire l’origine russa di quest’attacco (uno dei 2 indirizzi è ospitato su Yandex).

Purtroppo, a quanto pare, anche ottemperando alla richiesta estorsiva dei criminali, in BitCoin, pare che la sequenza alfanumerica per lo sblocco e la “liberazione” dei propri dati non venga mai corrisposta, il che equivale a confermare la natura puramente distruttiva del redivivo Mamba. 

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Non è chiaro, al momento, se gli hacker di questa nuova ondata virale siano gli stessi che erano all'origine della prima comparsa del ransomware "Mamba": la natura distruttiva di quest'ultimo è sempre elevata, come pure il modus operandi, immutato. Cambia solo la vittima, questa volta incentrata sui ricchi petrodollari dell'Arabia, pur non trascurando le grandi aziende del Brasile. Essendo un malware estremamente pericoloso, è bene fare - anche nel Bel Paese - un backup dei propri dati, da tenere su una risorsa di memoria off-line, sconnessa anche dalla rete locale.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!