Программа-вымогатель Mamba: следующая атака — шифрование жесткого диска?

Программы-вымогатели после заражения системы обычно шифруют файлы. Большинство вариантов вредоносных программ до этого момента действовали таким образом. Однако, начиная с программы-вымогателя под названием Petya, исследователи безопасности обнаружили программу-вымогатель, которая атаковала самое ядро системы. Похоже, эта тактика не исчезла, поскольку исследователи выявили новую программу-вымогатель, атакующую жесткие диски.

Программа-вымогатель, получившая название Mamba, обсуждалась Ренато Мариньо из Morphus Labs в недавнем посте на LinkedIn. В этом посте Мариньо утверждает, что Mamba уведомляет пользователей о своем заражении сообщением «Вас взломали! Жесткий диск зашифрован, свяжитесь с нами для получения ключа дешифрования ([email protected]) ВАШ ID: 123152. ” К моменту, когда этот текст отображается на вашем экране, Mamba уже зашифровала ваш жесткий диск. Шифрование осуществляется с помощью DiskCryptor, программного обеспечения для шифрования разделов диска с открытым исходным кодом. DiskCryptor поддерживает следующие типы шифрования: AES-256, Twofish и Serpent. Сам DiskCryptor не является вредоносной программой; им просто манипулируют киберпреступники, использующие программу-вымогатель Mamba.

Согласно сообщению Morphus Labs, Mamba была обнаружена на машинах в Индии, Бразилии (родной стране Morphus) и США. Кроме того, вектор атаки для программы-вымогателя был идентифицирован как фишинговые электронные письма. Об этом стало известно из интервью с Ренато Мариньо блогу «Лаборатории Касперского» ThreatPost.

Программа-вымогатель дает адрес электронной почты для связи, а в ответном письме требуется выкуп в размере 1 биткойна вместе с инструкциями по оплате. После оплаты злоумышленники сообщают жертве пароль для удаления Mamba из их системы. В самом электронном письме есть фотография человека в маске Гая Фокса под псевдонимом «Энди Саолис». Эта информация бесполезна, но использование популярной маски V значит Вендетта может означать несколько вещей.

Одна из теорий состоит в том, что нападавшие на самом деле являются сценарными детишками, которые находятся в затруднительном положении. Но это маловероятно, поскольку эти атаки, хотя и используют уже существующее программное обеспечение, на самом деле осуществляются с некоторым знанием систем. Другая возможность заключается в том, что эти актеры считают себя частью всегда податливой группы «черных шляп» Anonymous. Это чистое предположение, и, честно говоря, я не вижу никаких признаков, кроме символизма, что это так. И последняя возможность заключается в том, что злоумышленники используют образы, связанные с внушающим страх (смеется) хакерским коллективом, чтобы запугать своих жертв и заставить их заплатить. На мой взгляд, наиболее вероятный вывод, потому что страх является сильнейшим мотиватором, побуждающим жертв программ-вымогателей платить.

На данный момент кажется, что Mamba влияет только на системы Windows, но если злоумышленники поумнеют, ситуация может быстро измениться. В отличие от вышеупомянутого Petya, расшифровщика для Mamba на данный момент нет. Лучше всего, особенно если вы используете ОС Windows, проявлять крайнюю осторожность с вашими электронными письмами и их последующими ссылками.