Bezpečnostné varovanie V20170811-01K
| Dôležitosť | Kritická |
| Klasifikácia | TLP WHITE |
| Identifikátor |
| Mamba ransomware |
| Popis |
| Na konci roka 2016 došlo k veľkému útoku na mestskú dopravnú agentúru v San Franciscu. Útok bol vykonaný použitím Mamba ransomware. Tento ransomware používa legitímny nástroj nazvaný DiskCryptor na šifrovanie celého disku. Tento mesiac spoločnosť Kaspersky zaznamenala, že skupina, ktorá stojí za týmto ransomware, obnovila svoje útoky na korporácie. Útoky boli zaznamenané na korporácie v Brazílii a Saudskej arábii. |
| Zasiahnuté systémy |
| Operačné systémy Microsoft Windows |
| Vektor infekcie |
| Skupina útočníkov získa prístup do siete napadnutej organizácie a používa nástroj psexec na vykonanie ransomware. Tiež je dôležité spomenúť, že pre každý stroj v sieti obete generátor hrozieb generuje heslo pre nástroj DiskCryptor. Toto heslo prechádza cez argumenty príkazového riadku do dropperu ransomware. |
| Technická analýza |
| Aktivita ransomvéru sa dá rozdeliť do dvoch fáz: 1. Fáza (príprava): – Vytvorí priečinok „C: \ xampp \ http“ – Dropne DiskCryptor do priečinka – Nainštalujte ovládač DiskCryptor – Zaregistrujte systémovú službu s názvom DefragmentService – Reštartuje zariadenie obete 2. Fáza (zašifrovanie): – Nastaví bootloader na MBR a šifrujte diskové oddiely pomocou softvéru DiskCryptor – Reštartuje zariadenie obete – Zobrazí správu o zašifrovaní dát a požaduje „výkupné“ Kompletná technická analýza na: https://securelist.com/the-return-of-mamba- ransomware/79403/ |
| IOC |
| MD5 hash: 79ED93DF3BEC7CD95CE60E6EE35F46A1 e-mail adresy: мс[email protected], citrix2234@protonмail.com |
| Následky |
| Neprístupnosť služby, neoprávnené spustenie škodlivého kódu, únik informácií |
| Odporúčania |
|
Dešifrovanie zašifrovaných dát: Opatrenia: |
| Zdroje |
| https://securelist.com/the-return-of-mamba-ransomware/79403/ |
« Späť na zoznam
