Os pesquisadores da Kaspersky detectaram uma nova onda de ataques do ransomware Mamba, conhecido por ter interditado o transporte público de São Francisco em 2016.

O Mamba é famoso por criptografar o disco rígido inteiro, em vez de alguns arquivos. Ele se assemelha aos malwares Petya e Mischa, assim como o ExPetr, responsável por um dos maiores ataques globais dos últimos tempos.

De acordo com a Kaspersky, ainda não foi descoberto quem está por trás dessa nova onda de ataques contra companhias brasileiras.

Os pesquisadores da empresa - Andres Guerrero Saade e Brian Bartholomew afirmaram que essa epidemia de sabotagem cibernética disfarçada de extorsão vai continuar.

“Digamos que temos todos os meios para um ataque de sabotagem e queremos disfarçá-lo como ransomware ou algo potencialmente tratável”, diz Saade. “Mas não é necessariamente diferente do que o Grupo Lazarus fez com a Sony, ou alguns outros alvos sul-coreanos, quando primeiro pediram dinheiro e depois despejaram os dados de qualquer maneira. É uma evolução particularmente preocupante”.

“Criadores de malware wiper (destruidores) não são capazes de decifrar as máquinas das vítimas. O ExPetr, por exemplo, usa uma chave gerada aleatoriamente para codificar uma máquina, mas não a guarda”, disse Orkhan Memedov, pesquisador da Kaspersky. Contudo, no caso do Mamba, a chave deve ser passada para o trojan, significando que o criminoso conhece essa chave e, em teoria, é capaz de libertar a máquina”.

Este ransomware surgiu em setembro de 2016, quando pesquisadores da Morphus Labs disseram que o malware foi detectado em uma empresa de energia no Brasil com subsidiárias nos EUA e Índia. Ao infectar uma máquina Windows, ele substitui o Registro de inicialização (MBR) por um personalizado e criptografa o disco rígido usando um utilitário de criptografia de HD de código aberto chamado DiskCryptor.

“O Mamba tem sido usado em ataques direcionados contra empresas e infraestruturas críticas inclusive no Brasil”, conta Fabio Assolini - analista sênior de maware da Kaspersky no Brasil. “Diferentemente das outras famílias de ransomware, ele impossibilita o uso da máquina comprometida, exibindo o pedido de resgate logo e cifrando o disco por completo. O uso de um utilitário legítimo na cifragem é outra prova de que os autores visam causar o maior dano possível”.

“Infelizmente, não há nenhuma maneira de decodificar dados criptografados com o DiskCryptor, porque ele usa algoritmos de criptografia fortes”, conclui o relatório da Kaspersky.

O ransomware está evoluindo. E a segurança da sua empresa, também?

>> Conheça as soluções Kaspersky e previna-se.

Fonte

Kaspersky