Il ritorno di Mamba, il ransomware che cripta l'hard disk

Naviga SWZ: Home Page » News
News del 14 Agosto 17 Autore: Stefano Fossati
Gli attacchi informatici non vanno in ferie in estate: i ricercatori di Kaspersky Lab hanno scoperto una nuova ondata di attacchi del ransomware Mamba, lo stesso che lo scorso novembre aveva colpito la San Francisco Municipal Railway, bloccando più di 2mila computer di proprietà della San Francisco Municipal Transport Agency (SFMTA). La nuova ondata di cyberattacchi ha colpito principalmente aziende situate in Brasile e Arabia Saudita, almeno fino a oggi.

Il ritorno di Mamba, il ransomware che cripta l'hard disk - immagine 1

Il ransomware Mamba sfrutta una utility legittima chiamata DiskCryptor, dotata di algoritmi di crittografia molto forti, che rendono attualmente impossibile decifrare i dati criptati in questo modo. Mamba, ransomware scoperto da Renato Marinho, ricercatore brasiliano di Morphus Lab, a differenza dei più classici malware concorrenti non lavora su singoli file, bensì attua un criptaggio al livello dell’hard disk, rendendo inaccessibile ogni partizione presente nel pc (Full Disk Encryption, FDE). Questi ransomware si diffondono, esclusivamente su sistemi Windows, tramite email che, grazie a procedure di ingegneria sociale, spingono la vittima a cliccare su un link allegato.

Dal momento dell’infezione, si avvierà un processo “DefragmentService” che maschererà le procedure di criptografia delle partizioni attive del sistema. Verrà inoltre corrotto l’MBR, non permettendo, di fatto l’accesso a Windows. Al riavvio, verrà visualizzata una schermata che notificherà all’utente di essere rimasto vittima del ransomware e permetterà di inserire una password per sbloccare il sistema. Questa potrà essere ottenuta contattando l’indirizzo email mostrato dalla schermata, dove potremo reperire tutte le informazioni relative al pagamento del riscatto.

Il ritorno di Mamba, il ransomware che cripta l'hard disk - immagine 3

Le soluzioni Kaspersky Lab rilevano questa minaccia grazie alla componente System Watcher con il nome: PDM:Trojan.Win32.Generic. Per proteggersi da questo tipo di minacce, la società consiglia alle aziende di installare sempre le patch per vulnerabilità critiche dei software rilasciate dagli sviluppatori e mantenere i software aggiornati, non aprire allegati provenienti da fonti non affidabili, effettuare il backup dei dati sensibili su un archivio esterno e conservarlo offline. Kaspersky Lab rende fra l’altro disponibile la soluzione gratuita per le aziende Anti-Ransomware Tool.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE