1. По причине блокировки роскомнадзором раз в несколько месяцев мы меняем доменное имя. Чтоб не потерять новую ссылку просто зарегистрируйтесь и вы получите сообщение о замене на свою почту!
    Скрыть объявление
Скрыть объявление
По причине блокировки роскомнадзором раз в несколько месяцев мы меняем доменное имя. Чтоб не потерять новую ссылку просто зарегистрируйтесь и вы получите сообщение о замене на свою почту!
Скрыть объявление
Проводите сделки через Гарант-сервис чтоб полностью обезопасить свои покупки.

Криптовымогатель Mamba вернулся

Тема в разделе "Новости в мире кардинга", создана пользователем Wingy Bullet, 22 авг 2017.

  1. Wingy Bullet

    Wingy Bullet

    Сообщения:
    3
    Симпатии:
    0
    Баллы:
    1
    Mamba был одним из первых криптовымогателей, которые шифровали не файлы по отдельности, а сразу весь жесткий диск. Также этот шифровальщик примечателен тем, что он ответственен за весьма масштабную атаку на транспортную систему Сан-Франциско в прошлом ноябре.

    Некоторое время про «Мамбу» не было слышно, но вчера эксперты Лаборатории Касперского опубликовали отчет, согласно которому новая волна заражений этим шифровальщиком замечена в Бразилии и Саудовской Аравии.

    Не исключено, что новые атаки Mamba — это продолжение тренда маскировки атак с целью саботажа под заражения шифровальщиками-вымогателями. Начало данному тренду положили Petya и Mischa в 2016 году, а апогея он достиг этим летом, с атаками вайпера ExPetr/NotPetya. Кто стоит за новыми заражениями Mamba пока не известно — это могут быть как спонсируемые спонсируемые государством хакеры, так и обычная киберкриминальная организация.

    Во вчерашнем докладе исследователи Лаборатории Касперского Хуан-Андрес Герреро-Сааде и Брайан Бартоломью предсказали, что этот тренд продолжится.

    «Допустим, у кого-то есть необходимость устроить кибератаку с целью саботажа и он собирается замаскировать это под атаку шифровальщика или еще под что-то такое, что потенциально поддается лечению. Это не так уж сильно отличается от того, что группировка Lazarus делала с Sony или с жертвами из Южной Кореи: сначала они вымогали деньги, а потом в любом случае выкладывали похищенные у жертв компрометирующие данные,» — говорит Герреро-Сааде.

    Изначально о трояне Mamba стало известно в сентябре 2016 года, когда исследователи из Morphus Labs рассказали, что обнаружили его на компьютерах, принадлежащих бразильской энергетической компании с подразделениями в США и Индии. Как только шифровальщик заражает компьютер на Windows, он меняет главную загрузочную запись (MBR) на собственную и шифрует весь жесткий диск, используя легитимную утилиту с открытым кодом под названием DiskCryptor.

    После этого он выводит сообщение, которое не содержит никаких требований выкупа. Выводится только пара адресов электронной почты и идентификационный номер, который требуется для получения ключа.

    К сожалению, восстановить файлы самостоятельно, без получения ключа от преступников, не получится. Утилита DiskCryptor использует надежное шифрование, которое не удастся каким-то образом обойти или взломать.

    Также из отчета Лаборатории Касперского следует, что в ходе атак Mamba на организации в Бразилии И Саудовской Аравии используется еще одна легитимная утилита, PSEXEC — она применяется для запуска зловреда внутри корпоративной сети жертвы. Эта утилита была одним из важнейших компонентов атаки ExPetr, которая, в свою очередь, имела немало общего с более ранними атаками Petya.

    Атака происходит в два этапа. На первом этапе зловред загружает и устанавливает DiskCryptor. На том же этапе он регистрирует системный сервис с звучащим правдоподобно названием DefragmentService и перезагружает систему.

    На втором этапе троян меняет загрузчик на собственный, после чего запускается утилита DiskCryptor, файлы шифруются и система снова перез-агружается.

    В отличие от жертв шифровальщика ExPetr, которые вряд ли когда-либо смогут восстановить зашифрованные данные, в случае Mamba надежда все же есть.

    «Авторы вайперов не имеют возможности расшифровать файлы на компьютерах жертв. В качестве примера можно вспомнить ExPetr: для шифрования он использует случайно генерируемый ключ для шифрования файлов, однако этот ключ нигде не сохраняется и никуда не передается — создатели трояна не получают этого ключа, поэтому у них нет никакой возможности расшифровать данные,» — говорит Орхан Мамедов, исследователь Лаборатории Касперского. «Поэтому у нас есть все основания называть ExPetr вайпером. В случае Mamba все иначе: ключ выдается трояну в качестве одного из аргументов команды. Это значит, что у преступников этот ключ есть, так что теоретически они могут расшифровать файлы».

Поделиться этой страницей