Криптовымогатель Mamba вернулся

[Wingy Bullet 0]

Mamba был одним из первых криптовымогателей, которые шифровали не файлы по отдельности, а сразу весь жесткий диск. Также этот шифровальщик примечателен тем, что он ответственен за весьма масштабную атаку на транспортную систему Сан-Франциско в прошлом ноябре.



Некоторое время про «Мамбу» не было слышно, но вчера эксперты Лаборатории Касперского опубликовали отчет, согласно которому новая волна заражений этим шифровальщиком замечена в Бразилии и Саудовской Аравии.



Не исключено, что новые атаки Mamba — это продолжение тренда маскировки атак с целью саботажа под заражения шифровальщиками-вымогателями. Начало данному тренду положили Petya и Mischa в 2016 году, а апогея он достиг этим летом, с атаками вайпера ExPetr/NotPetya. Кто стоит за новыми заражениями Mamba пока не известно — это могут быть как спонсируемые спонсируемые государством хакеры, так и обычная киберкриминальная организация.



Во вчерашнем докладе исследователи Лаборатории Касперского Хуан-Андрес Герреро-Сааде и Брайан Бартоломью предсказали, что этот тренд продолжится.



«Допустим, у кого-то есть необходимость устроить кибератаку с целью саботажа и он собирается замаскировать это под атаку шифровальщика или еще под что-то такое, что потенциально поддается лечению. Это не так уж сильно отличается от того, что группировка Lazarus делала с Sony или с жертвами из Южной Кореи: сначала они вымогали деньги, а потом в любом случае выкладывали похищенные у жертв компрометирующие данные,» — говорит Герреро-Сааде.



Изначально о трояне Mamba стало известно в сентябре 2016 года, когда исследователи из Morphus Labs рассказали, что обнаружили его на компьютерах, принадлежащих бразильской энергетической компании с подразделениями в США и Индии. Как только шифровальщик заражает компьютер на Windows, он меняет главную загрузочную запись (MBR) на собственную и шифрует весь жесткий диск, используя легитимную утилиту с открытым кодом под названием DiskCryptor.



После этого он выводит сообщение, которое не содержит никаких требований выкупа. Выводится только пара адресов электронной почты и идентификационный номер, который требуется для получения ключа.



К сожалению, восстановить файлы самостоятельно, без получения ключа от преступников, не получится. Утилита DiskCryptor использует надежное шифрование, которое не удастся каким-то образом обойти или взломать.



Также из отчета Лаборатории Касперского следует, что в ходе атак Mamba на организации в Бразилии И Саудовской Аравии используется еще одна легитимная утилита, PSEXEC — она применяется для запуска зловреда внутри корпоративной сети жертвы. Эта утилита была одним из важнейших компонентов атаки ExPetr, которая, в свою очередь, имела немало общего с более ранними атаками Petya.



Атака происходит в два этапа. На первом этапе зловред загружает и устанавливает DiskCryptor. На том же этапе он регистрирует системный сервис с звучащим правдоподобно названием DefragmentService и перезагружает систему.



На втором этапе троян меняет загрузчик на собственный, после чего запускается утилита DiskCryptor, файлы шифруются и система снова перез-агружается.



В отличие от жертв шифровальщика ExPetr, которые вряд ли когда-либо смогут восстановить зашифрованные данные, в случае Mamba надежда все же есть.



«Авторы вайперов не имеют возможности расшифровать файлы на компьютерах жертв. В качестве примера можно вспомнить ExPetr: для шифрования он использует случайно генерируемый ключ для шифрования файлов, однако этот ключ нигде не сохраняется и никуда не передается — создатели трояна не получают этого ключа, поэтому у них нет никакой возможности расшифровать данные,» — говорит Орхан Мамедов, исследователь Лаборатории Касперского. «Поэтому у нас есть все основания называть ExPetr вайпером. В случае Mamba все иначе: ключ выдается трояну в качестве одного из аргументов команды. Это значит, что у преступников этот ключ есть, так что теоретически они могут расшифровать файлы».