Bezpečnostné varovanie V20170811-01K

Dôležitosť Kritická
Klasifikácia TLP WHITE

 

Identifikátor 
 Mamba ransomware

 

Popis
Na konci roka 2016 došlo k veľkému útoku na mestskú dopravnú agentúru v San Franciscu. Útok bol vykonaný použitím Mamba ransomware. Tento ransomware používa legitímny nástroj nazvaný DiskCryptor na šifrovanie celého disku. Tento mesiac spoločnosť Kaspersky zaznamenala, že skupina, ktorá stojí za týmto ransomware, obnovila svoje útoky na korporácie. Útoky boli zaznamenané na korporácie v Brazílii a Saudskej arábii.

 

Zasiahnuté systémy
Operačné systémy Microsoft Windows

 

Vektor infekcie
Skupina útočníkov získa prístup do siete napadnutej organizácie a používa nástroj psexec na vykonanie ransomware. Tiež je dôležité spomenúť, že pre každý stroj v sieti obete generátor hrozieb generuje heslo pre nástroj DiskCryptor. Toto heslo prechádza cez argumenty príkazového riadku do dropperu ransomware.

 

Technická analýza
Aktivita ransomvéru sa dá rozdeliť do dvoch fáz:
1. Fáza (príprava):
– Vytvorí priečinok „C: \ xampp \ http“
– Dropne DiskCryptor do priečinka
– Nainštalujte ovládač DiskCryptor
– Zaregistrujte systémovú službu s názvom DefragmentService
– Reštartuje zariadenie obete
2. Fáza (zašifrovanie):
– Nastaví bootloader na MBR a šifrujte diskové oddiely pomocou softvéru DiskCryptor
– Reštartuje zariadenie obete
– Zobrazí správu o zašifrovaní dát a požaduje „výkupné“
Kompletná technická analýza na: https://securelist.com/the-return-of-mamba-
ransomware/79403/

 

IOC
MD5 hash: 79ED93DF3BEC7CD95CE60E6EE35F46A1
e-mail adresy: мсrypt2017@yandex.com, citrix2234@protonмail.com

 

Následky 
 Neprístupnosť služby, neoprávnené spustenie škodlivého kódu, únik informácií

 

Odporúčania

 Dešifrovanie zašifrovaných dát:
Doposiaľ neexistuje žiadny spôsob, ako dešifrovať dáta, ktoré boli šifrované pomocou nástroja DiskCryptor, pretože tento nástroj používa silné šifrovacie algoritmy.

Opatrenia:
– Udržiavajte svoje operačné systémy aktualizované
– Používajte aditívne softvérové bezpečnostné riešenia, ako napríklad antivírusové alebo antimalvérové softvéry
– Neotvárajte a ani nespúštajte podozrivé prílohy v e-mailoch od nedôveryhodných alebo neznámych zdrojov. Takisto neotvárajte nedôveryhodné programy z iných zdrojov, ako sú napríklad USB kľúče a podobne. Tieto opatrenia zaveďte aj medzi svojimi zamestnancami.
– Pravidelne zálohujte svoje dáta, najlepšie na úložisko, ktoré nie je permanentne pripojené do siete.

 

Zdroje 
 https://securelist.com/the-return-of-mamba-ransomware/79403/

« Späť na zoznam