Ransomware Mamba, il ritorno: hard disk criptati e file inaccessibili

Ritorna tra le prime pagine della “cronaca nera” degli attacchi cybernetici il ransomware Mamba, già noto per aver colpito con effetti distruttivi diversi enti e qualche utente PC in Brasile e Arabia del Sud. Nonostante non sia tra i ransomware più diffusi, Mamba è in grado di andare ben oltre i classici exploit di questo tipo, criptando l’intero hard drive anziché i singoli file: al momento non sarebbero disponibili soluzioni per decriptare i contenuti, secondo Kaspersky Lab, che ha scoperto la “resurrezione” del pericoloso attacco nelle ultime ore.

Il funzionamento del ransomware Mamba è legato principalmente a scopi distruttivi più che all’estorsione di Bitcoin come spesso avviene in questi casi, e la sua efficacia proviene dalla sua capacità di fare leva su un software open source del tutto innocuo, DiskCryptor, per criptare l’intera memoria fisica su cui sono custoditi i file. Il suo funzionamento sembra essere rimasto inalterato dalla versione originale del ransomware, che apparve per la prima volta a livello internazionale nel settembre 2016.

Tra le diverse operazioni portate a termine sul sistema della vittima da parte del ransomware Mamba, non manca l’alterazione del MFT (Master File Table, un componente essenziale del disco fisso che custodisce informazioni su file e cartelle sui dischi NTFS), l’interazione con applicazioni e dati personali. Al momento sembra che il principale canale di diffusione dell’attacco sia costituito dalle classiche e-mail, ed il messaggio in cui si indicherebbero improbabili istruzioni per ottenere nuovamente il controllo sui file mostra semplicemente due indirizzi mail e un ID number relativo alla nostra encryption key personalizzata.

Come spesso accade in questi casi, Kaspersky Lab segnala di non cedere alla richiesta di riscatto: sarà tuttavia complicato elaborare un’utility in grado di decriptare i file, dal momento che gli algoritmi utilizzati da DiskCryptor, un’utility più che legittima, sono particolarmente resistenti: attendiamo comunque novità sul caso “ransomware Mamba” a breve.

via