I virus informatici, proprio come quelli biologici, tendono – sovente – a riproporsi, in forma mutata, e con una rinnovata virulenza. A conferma di quest’assunto, in queste ore, diverse aziende di sicurezza hanno notato un ri-acutizzarsi degli attacchi condotti contro i PC tramite il ransomware “Mamba”.
Mamba si è affacciato alla ribalta, per la prima volta, nel Settembre del 2016, anche se i danni maggiori li ha totalizzati nel Novembre dello stesso anno, quando bloccò l’intera rete informatica dell’azienda pubblica dei trasporti di San Francisco (comunemente conosciuta come “SF Muni”), costringendo quest’ultima a far viaggiare gratis i propri pendolari per diverse ore. In quel caso, la campagna hacker fu scoperta dalla security house “Morpheus Labs”, che ne ravvisò l’azione, oltre che nel natio Brasile, anche nei vicini Stati Uniti, ed in India.
Qualcosa di simile sta accadendo anche in queste ore ma, oltre al Brasile, risultano essere coinvolte parecchie grosse aziende ed uffici in Arabia Saudita. Il modus operandi del ransomware Mamba è sempre lo stesso: si insinua in una Rete aziendale attraverso mail di phishing e, per mimetizzarsi, crea una cartella “xampp” – nel disco C del computer compromesso – in cui scaricare il codice malevolo: essendo “xampp” una piattaforma open source usata dagli amministratori di sistema per creare e gestire dei server web, non è inverosimile che, su alcuni computer, una directory del genere possa passare inosservata.
In seguito, “DiskCryptor”, un programma libero per la criptazione degli hard disk, viene installato in locale, mascherato come uno dei servizi di sistema cui più si è abituati, trattandosi di quello per la deframmentazione del disco fisso (“DefragmentService”): l’ignara vittima, anche controllando i servizi attivi, ravvisando un certo rallentamento del sistema, non vedrebbe altro che in azione un servizio di cui si fida a occhi chiusi.
Peccato che, in seguito ad un riavvio del sistema, e dopo che è stato cambiato anche il settore di avvio del computer (MBR), l’intero hard disk sia stato criptato con vari algoritmi (un mix di AES, Serpent, e Twofish), e l’unica cosa che si possa fare è constatare un messaggio di allarme, che richiede l’inserimento di una password di sblocco. Ovviamente, per ottenere quest’ultima bisognerà scrivere ad alcuni indirizzi internet che, pur difficilmente rintracciabili (uno è supportato dalla crittografia di ProtonMail), lasciano intuire l’origine russa di quest’attacco (uno dei 2 indirizzi è ospitato su Yandex).
Purtroppo, a quanto pare, anche ottemperando alla richiesta estorsiva dei criminali, in BitCoin, pare che la sequenza alfanumerica per lo sblocco e la “liberazione” dei propri dati non venga mai corrisposta, il che equivale a confermare la natura puramente distruttiva del redivivo Mamba.