Un grupo de investigadorees de seguridad de Brasil, llamado Morphus Labs, acaba de descubrir un nuevo ransomware de cifrado de disco completo (FDE - Full Disk Encryption)  esta misma semana, llamado Mamba. Mamba, como lo llamaron, utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Esto puede ser sólo el comienzo de una nueva era para los Ransomwares.





"Mamba", es una serpiente con un veneno paralizante. Igual que para las víctimas de este nuevo ransomware. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin eso, el sistema  no arranca.

El Mamba ransomware utiliza cifrado a nivel del disco duro

El ransomware Mamba se ha identificado el 7 de septiembre durante un procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño que los ataques basadosen archivos individuales. Los desarrolladores criminales han utilizado el DiskCryptor para cifrar la información., una herramienta de código abierto

Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin embargo, Petya cifra sólo las tablas maestra de archivos (MFT) con lo que no afectan a los datos en sí.

Tras la exitosa infiltración, Mamba crea su carpeta titulada DC22 en la unidad C del equipo donde coloca sus archivos binarios. Un servicio del sistema se crea y alberga el proceso del ransomware. Un nuevo usuario llamado MythBusters se crea asociado con la contraseña 123456.

También sobrescribe el registro de inicio maestro (MBR) del disco del sistema que contiene el gestor de arranque para el sistema operativo. Esto prohíbe efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el código de descifrado.

 

El mensaje de rescate pide a los usuarios a pagar la suma de 1 BTC por máquina infectada a los atacantes. Los investigadores han observado los operadores maliciosos han mencionado servidores en el texto. Esto probablemente significa que Mamba se puede utilizar para atacar a las granjas de servidores y otros equipos de la red importantes.

You are Hacked ! H.D.D Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOURID: 123152”. This message is all that remains for the victims of this new Ransomware. To get the decryption key, it’s necessary to contact somebody through the informed e-mail address, give the ID and pay 1 BTC per infected host.

Mamba se distribuye a través de paquetes de exploits, archivos DLL infectadas, código Javascript malicioso o descargas. Es muy probable que el sistema de cifrado utilizado es la criptografía AES-512, que es imposible de descifrar. Diversos troyanos también pueden llevar la carga útil Mamba como parte de un ataque eficiente, agresiva contra objetivos de alto perfil.

En el momento actual, no hay ninguna utilidad de descifrado que puede restaurar las unidades infectadas Mamba.


Fuentes:
https://www.linkedin.com/pulse/mamba-new-full-disk-encryption-ransomware-family-member-marinho?trk=prof-post
http://bestsecuritysearch.com/mamba-ransomware-discovered/