Μια ειδοποίηση από το Ομοσπονδιακό Γραφείο Ερευνών (FBI) των ΗΠΑ σχετικά με το Mamba ransomware αποκαλύπτει ένα αδύναμο σημείο στη διαδικασία κρυπτογράφησης που θα μπορούσε να βοηθήσει τους στοχευμένους οργανισμούς να ανακάμψουν από την επίθεση χωρίς να πληρώσουν τα λύτρα που ζητούν οι χάκερ.
Το FBI προειδοποιεί ότι οι επιθέσεις Mamba ransomware έχουν απευθυνθεί σε οντότητες του δημόσιου και του ιδιωτικού τομέα, συμπεριλαμβανομένων των τοπικών κυβερνήσεων, μεταφορικών γραφείων, νομικών υπηρεσιών, τεχνολογικών υπηρεσιών, βιομηχανικών, εμπορικών, μεταποιητικών και κατασκευαστικών επιχειρήσεων.
Δείτε επίσης: FBI: Προειδοποιεί για αυξημένες επιθέσεις του Pysa ransomware σε εκπαιδευτικά ιδρύματα
Το Mamba ransomware (γνωστό και ως HDDCryptor) βασίζεται σε μια λύση λογισμικού ανοιχτού κώδικα που ονομάζεται DiskCryptor για την κρυπτογράφηση των υπολογιστών των θυμάτων στο παρασκήνιο με ένα κλειδί που ορίζεται από τον εισβολέα.
Το FBI εξηγεί ότι η εγκατάσταση του DiskCryptor απαιτεί επανεκκίνηση του συστήματος για την προσθήκη των απαραίτητων driver, η οποία συμβαίνει περίπου δύο λεπτά μετά την ανάπτυξη του προγράμματος.
Το FBI σημειώνει επίσης ότι το κλειδί κρυπτογράφησης και η μεταβλητή χρόνου τερματισμού αποθηκεύονται στο configuration του DiskCryptor, ένα αρχείο plaintext που ονομάζεται myConf.txt.
Δείτε επίσης: FBI: Οι απώλειες από το κυβερνοέγκλημα ανήλθαν στα $4,2 δισ. το 2020!
Μια δεύτερη επανεκκίνηση του συστήματος πραγματοποιείται μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης, περίπου δύο ώρες αργότερα και το σημείωμα για τα λύτρα καθίσταται διαθέσιμο.
Επειδή δεν υπάρχει προστασία γύρω από το κλειδί κρυπτογράφησης, καθώς είναι αποθηκευμένο σε απλό κείμενο, το FBI λέει ότι αυτό το δίωρο κενό είναι μια ευκαιρία για τους οργανισμούς που πλήττονται από το Mamba ransomware για να το ανακτήσουν.
Η επιχείρηση πίσω από το Mamba ransomware άρχισε να αυξάνει τη δραστηριότητά της με μια νέα παραλλαγή που βρέθηκε το δεύτερο εξάμηνο του 2019. Παρά το γεγονός ότι δεν έχει πρόγραμμα affiliate, ήταν μεταξύ των κορυφαίων απειλών.
Μάθετε επίσης: FBI-CISA: Phishing emails διανέμουν γνωστό malware
Σε μια αναφορά της Coveware, στο πρώτο τρίμηνο του περασμένου έτους το Mamba βρισκόταν ανάμεσα στις πέντε πιο σημαντικές απειλές ransomware – στις κορυφαίες θέσεις ήταν τα REvil και Ryuk. Αυτό άλλαξε το τέταρτο τρίμηνο του 2020, αν και συνέχισε να είναι αξιοσημείωτα κίνδυνο.
Μια ιδιαιτερότητα του Mamba ransomware είναι ότι αντικαθιστά την κύρια εγγραφή εκκίνησης του δίσκου (MBR), εμποδίζοντας την πρόσβαση σε κρυπτογραφημένα αρχεία στη μονάδα δίσκου. Αυτό καθιστά πιο δύσκολη την παρακολούθηση του αριθμού των επιθέσεων, καθώς τα αρχεία δεν μπορούν να αναλυθούν μέσω αυτοματοποιημένων υπηρεσιών όπως το ID-Ransomware.
Πηγή πληροφοριών: bleepingcomputer.com
 των ΗΠΑ σχετικά με το Mamba ransomware αποκαλύπτει ένα αδύναμο σημείο στη){kind=link}