Mamba, un peligroso ransomware que usa PSEXEC como vector de entrada

  • Endpoint

Stormshield-ransomware

Una vez infectadas, las víctimas reciben un mensaje donde se les insta a pagar una cantidad elevada de dinero en criptomonedas. Según el FBI, Mamba ha afectado recientemente a entidades públicas y a empresas de sectores de la tecnología, fabricación y construcción, entre otras.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

Anatomía del ataque a una cuenta privilegiada Leer 

El pasado mes de marzo, el FBI emitió una alerta sobre Mamba, un ransomware que se hizo ya popular en 2016, cuando logró afectar a los sistemas de la Agencia Municipal de Transportes de San Francisco (SFMTA). Ahora ha vuelto a entrar en escena afectando a gobiernos locales, servicios legales, servicios de tecnología, empresas industriales, comerciales, de fabricación y de construcción.

Como vector de entrada, los ciberatacantes aprovechan generalmente la utilidad PSEXEC, una herramienta que permite   los Administradores controlar otros ordenadores en ubicaciones remotas para realizar tareas de mantenimiento y ejecutar comandos en el host de destino. Como interfaz de línea de comandos, PSEXEC solo requiere que proporcione la dirección, los detalles del usuario y la contraseña para obtener acceso al ordenador de destino.

Una vez introducido en los sistemas, las víctimas reciben un mensaje donde se les insta a pagar una cantidad elevada de dinero en criptomonedas. De esa manera, podrán obtener la clave de descifrado para desbloquear sus sistemas. Para el cifrado, este ransomware utiliza DiskCryptor, un software legítimo de código abierto con el que cifra los archivos de disco y de red y sobrescribe el Master Boot Record (MBR).

De acuerdo con el FBI, existe una manera de que las víctimas de este ransomware puedan recuperar sus archivos evitando el cifrado definitivo:  la clave de cifrado y la variable que determina el tiempo de apagado de los sistemas se guardan en un archivo de configuración (myConf.txt) y se pueden leer al menos hasta el segundo reinicio de los sistemas, que ocurre de manera automática unas dos horas después. Una vez alcanzado ese tiempo, es cuando los sistemas se bloquean completamente. Por eso, si alguno de los archivos de DiskCriptor relacionados con el malware son detectados con mucha rapidez en ese intervalo de tiempo y se localiza el archivo myConf.txt, la contraseña podría ser recuperada sin tener que pagar el rescate.

En cualquier caso, el FBI recomienda hacer un backup constante y regular de los sistemas que permitan restaurar su operatividad de la forma más rápida posible y sin tener que ceder al chantaje si finalmente son cifrados.mPor último, la agencia incide en que las organizaciones cuenten con “software de antivirus y antimalware en todos los hosts”. En este sentido, dado el gran auge del ransomware y su sofisticación cada vez mayor, los SOC deben contar con las herramientas más avanzadas posibles para sus operaciones de ciberseguridad.

TAGS Ransomware