Mamba Ransomware arme DiskCryptor: FBI

par ·

  • Français


    • Le FBI met en garde les utilisateurs et les organisations contre le ransomware Mamba qui cible diverses entités, notamment les gouvernements locaux, les agences juridiques, les services de transport, les fournisseurs de technologie, les entreprises industrielles, commerciales, de fabrication et de construction. Dans un avis de sécurité, le FBI a déclaré que Rançongiciel Mamba abuse du DiskCryptor – un outil open source pour crypter les fichiers, les lecteurs et le système d’exploitation. Aussi appelé HDDCryptor, le ransomware Mamba est actif depuis cinq ans.

    Dans le monde entier, les opérateurs de rançongiciels ont réussi à cibler des organisations populaires et à forcer le paiement d’une rançon. Le ransomware Mamba, utilisé dans 4,8% des cyberattaques, a été répertorié comme l’une des principales variantes de ransomware au premier trimestre de 2020. Les opérateurs derrière Mamba ont abusé du contenu de l’entreprise avant de crypter les données et de les garder en otage, menaçant de les publier à moins que la cible n’accepte payer.

    Comment fonctionne Mamba Ransomware

    • Le ransomware Mamba abuse souvent des logiciels gratuits ou open-source comme DiskCryptor pour restreindre l’accès des victimes.
    • Le ransomware crypte les disques durs de la victime par un bootloader modifié. Il peut crypter les ressources dans les partages réseau tels que les dossiers, les fichiers, les lecteurs, les imprimantes et les ports série.
    • Une fois chiffré, le système affiche une note de rançon comprenant l’adresse e-mail de l’acteur, le nom du fichier du ransomware, le nom du système hôte et un endroit pour entrer la clé de déchiffrement.
    • Les victimes sont invitées à contacter l’adresse e-mail de l’acteur pour payer la rançon en échange de la clé de déchiffrement.

    Note de rançon Mamba

    Courtoisie d’image: FBI

    Limitation de Mamba

    Le FBI a également révélé un point faible dans le processus de cryptage du ransomware Mamba qui pourrait aider les organisations victimes à récupérer leurs données d’entreprise sans payer de rançon.

    Comme indiqué précédemment, le ransomware Mamba s’appuie sur DiskCryptor pour crypter les systèmes victimes qui nécessitent le redémarrage du système et l’ajout des pilotes nécessaires dans les deux minutes. Alors que la clé de chiffrement et la variable de temps d’arrêt sont stockées dans la configuration de DiskCryptor dans un fichier en clair myConf.txt, un deuxième redémarrage se produit après le processus de cryptage deux heures plus tard. Le FBI affirme que cet intervalle de temps de deux heures est une chance pour les victimes de décrypter leurs fichiers verrouillés en payant la rançon.

    «Si l’un des fichiers DiskCryptor est détecté, des tentatives doivent être faites pour déterminer si myConf.txt est toujours accessible. Si tel est le cas, le mot de passe peut être récupéré sans payer la rançon. Cette opportunité est limitée au moment où le système redémarre pour la deuxième fois », a déclaré le FBI.

    Artefacts clés de Mamba

    Mesures d’atténuation

    Le FBI a également recommandé certaines mesures de sécurité pour empêcher les attaques de ransomwares. Ceux-ci inclus:

    • Sauvegardez régulièrement les données, les espaces aériens et les copies de sauvegarde protégées par mot de passe hors ligne. Assurez-vous que les copies des données critiques ne sont pas accessibles pour modification ou suppression du système où les données résident.
    • Mettre en œuvre la segmentation du réseau. Exigez des informations d’identification d’administrateur pour installer le logiciel.
    • Si DiskCryptor n’est pas utilisé par l’organisation, ajoutez les fichiers d’artefacts clés utilisés par DiskCryptor à la liste noire d’exécution de l’organisation. Toute tentative d’installation ou d’exécution de ce programme de chiffrement et de ses fichiers associés doit être évitée.
    • Mettre en œuvre un plan de récupération pour conserver et conserver plusieurs copies de données et de serveurs sensibles ou propriétaires dans un emplacement physiquement séparé, segmenté et sécurisé (c.-à-d. Disque dur, périphérique de stockage, le cloud).
    • Installez les mises à jour / correctifs des systèmes d’exploitation, des logiciels et des micrologiciels dès leur publication.
    • Concentrez-vous sur la sensibilisation et la formation. Fournir aux utilisateurs une formation sur les principes et les techniques de sécurité de l’information ainsi que sur les risques et vulnérabilités émergents en matière de cybersécurité (par exemple, les ransomwares et les escroqueries par hameçonnage).

    FBI sur le paiement d’une rançon

    Le FBI a déclaré qu’il était contre les paiements de rançon, car il encourage les acteurs menaçants à poursuivre leurs attaques de ransomwares en ciblant d’autres entreprises. L’agence a exhorté les utilisateurs et les organisations à signaler les incidents de ransomware au Centre de plaintes contre la criminalité sur Internet (IC3) du FBI à l’adresse https://ic3.gov.

    «Le FBI n’encourage pas le paiement de rançons. Le paiement ne garantit pas que les fichiers seront récupérés. Cela peut également encourager les adversaires à cibler d’autres organisations, encourager d’autres acteurs criminels à se livrer à la distribution de ransomwares et / ou financer des activités illicites. Cependant, le FBI comprend que lorsque les victimes sont confrontées à une incapacité de fonctionner, toutes les options sont évaluées pour protéger les actionnaires, les employés et les clients », a déclaré le FBI.

    Histoires connexes:

    Source

    Étiquettes :

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *