A cobra está solta: Mamba ataca Brasil novamente!

No ano passado, ransomware foi responsável por paralisar o transporte público de São Francisco, nos EUA.

 

ransomware_mamba

No final da semana passada, pesquisadores da Kaspersky encontraram indícios de que o ransomware Mamba tenha voltado a atacar. Em setembro de 2016, ele já havia infectado computadores no Brasil, Estados Unidos e Índia. E chegou a paralisar o transporte público de São Francisco, em novembro.

De acordo com a publicação feita pela empresa, organizações brasileiras são novamente alvo, junto com a Arábia Saudita. Por mais que ainda não se saiba quem está por detrás desse ataque, como foi algo direcionado em dois países, há a suspeita de que as motivações sejam políticas.

 

Objetivo é lucro? Parece que não

Outra razão que leva a crer que esse ataque foi estimulado por causas governamentais ou empresariais é a criação do próprio ransomware. O Mamba não foi desenvolvido para gerar dinheiro aos criminosos, sua função é a de somente criptografar os arquivos e gerar grandes problemas.

Na mensagem de resgate, obtida pela Kaspersky, não há nenhum pedido de pagamento. Ao invés disso, o conteúdo apenas diz que o computador teve seus arquivos encriptados e oferece dois endereços de e-mail e um número de identificação, para que seja possível recuperar a chave de criptografia.

Entretanto, nenhuma vítima ainda conseguiu reaver seus documentos. Por conta disso, especialistas recomendam que o ideal é não realizar o pagamento do resgate.

Ao que tudo indica, esse é um caso de sabotagem disfarçada de ransomware.

 

Um caso isolado que pode se tornar tendência

Em entrevista ao Threatpost, o pesquisador da Kaspersky, Juan Andres Guerrero Saade, comentou que esse tipo de ataque (sabotagem se passando por sequestro de dados) pode se tornar mais recorrente.

De acordo com ele, uma ação dessas não é muito diferente do que Grupo Lazarus fez com a Sony, em 2014, em que pediram pelo pagamento dos dados roubados, mas ainda assim os vazaram na Internet. "É uma evolução particularmente preocupante”, alerta.

 

Mamba: onde vive, o que come, como se reproduz?

O Mamba foi um dos primeiros ransomwares utilizados em ataques públicos que é capaz de criptografar disco rígidos, no lugar de arquivos únicos. Um comportamento próximo ao do NotPetya.

Porém, ao contrário do parente que infectou computadores há quase dois meses, há chances de que as vítimas consigam recuperar suas máquinas. Uma vez que os criminosos têm acesso à chave de criptografia, o que poderia reverter o ataque.

Mas como funciona o Mamba? Voltado somente para computadores com sistema Windows, ele faz uso do utilitário PSEXEC para inserir o malware na rede corporativa. E o ataque acontece em duas fases:

Primeiro, o malware cria uma nova pasta na máquina, onde será instalado o DiskCryptor. Após isso, o computador é reiniciado. Em seguida, um novo gerenciador de inicialização é configurado e o processo de criptografia é iniciado, antes que uma nova reinicialização aconteça.


Fonte: Kaspersky, TechTudo, Threatpost