La Oficina Federal de Investigaciones de EE. UU. Ha publicado una alerta Flash que advierte a las organizaciones sobre los ataques llevados a cabo por el grupo de ransomware Mamba.
El FBI no mencionó la extensión de estos ataques, pero dijo que el ransomware "se ha desplegado contra gobiernos locales, agencias de transporte público, servicios legales, servicios de tecnología, empresas industriales, comerciales, de fabricación y de construcción".
Mamba (también conocida como HDDCryptor) no es una nueva cepa de ransomware, existe desde al menos 2016, cuando fue detectada por primera vez por Trend Micro. Se sabe que el ransomware utiliza DiskCryptor, un software de cifrado de disco completo de código abierto, para cifrar archivos de disco y de red y sobrescribir el Master Boot Record (MBR). Una vez cifrado, el sistema muestra una nota de rescate que incluye la dirección de correo electrónico del actor, el nombre del archivo de ransomware, el nombre del sistema host y un lugar para ingresar la clave de descifrado. Se indica a las víctimas que se pongan en contacto con la dirección de correo electrónico del actor para pagar el rescate a cambio de la clave de descifrado.
Sin embargo, según el FBI, una falla en el proceso de cifrado de Mamba permite a las víctimas recuperar la clave de cifrado si el ataque se detecta en una etapa temprana.
“El ransomware extrae un conjunto de archivos e instala un servicio de cifrado. El programa ransomware reinicia el sistema unos dos minutos después de la instalación de DiskCryptor para completar la instalación del controlador. La clave de cifrado y la variable de tiempo de apagado se guardan en el archivo de configuración (myConf.txt) y se pueden leer hasta el segundo reinicio aproximadamente dos horas después, que concluye el cifrado y muestra la nota de rescate. Si se detecta alguno de los archivos DiskCryptor, se deben hacer intentos para determinar si myConf.txt aún es accesible. Si es así, la contraseña se puede recuperar sin pagar el rescate. Esta oportunidad se limita al punto en que el sistema se reinicia por segunda vez ”, señala la agencia.
La alerta también proporciona un conjunto de recomendaciones sobre medidas de seguridad que las organizaciones pueden implementar para proteger sus redes de su amenaza.
https://www.ic3.gov/Media/News/2021/210323.pdf
