Le ransomware Mamba a un point faible qui a été exposé par le FBI

0

Une alerte du FBI concernant le ransomware Mamba révèle un point faible dans le processus de chiffrement qui pourrait aider les organisations ciblées à se remettre de l’attaque sans payer la rançon.

Le FBI met en garde contre des attaques du ransomware Mamba qui ont été dirigées contre des entités dans les secteurs public et privé, y compris les gouvernements locaux, les agences de transport, les services juridiques, les services technologiques, industriels, commerciaux, de fabrication et de construction.

La course à la clé de chiffrement

Le ransomware Mamba (alias HDDCryptor) s’appuie sur une solution logicielle open-source nommée DiskCryptor pour chiffrer les ordinateurs victimes en arrière-plan avec une clé définie par le pirate informatique.

mamba

Le FBI explique que l’installation de DiskCryptor nécessite un redémarrage du système pour ajouter les pilotes nécessaires, ce qui se produit avec Mamba environ deux minutes après le déploiement du programme.

L’agence note en outre que la clé de chiffrement et la variable de temps d’arrêt sont stockées dans la configuration de DiskCryptor, un fichier plaintext nommé myConf.txt.

Un deuxième redémarrage du système se produit une fois le processus de chiffrement terminé, environ deux heures plus tard, et la note de rançon devient disponible.

Parce qu’il n’y a pas de protection autour de la clé de cryptage, car elle est enregistrée en texte clair, le FBI dit que ce trou de deux heures est une occasion pour les organisations touchées par le ransomware Mamba ransomware de récupérer leurs fichiers.

“Si l’un des fichiers DiskCryptor est détecté, des tentatives devraient être faites pour déterminer si myConf.txt est toujours accessible. Si c’est le cas, alors le mot de passe peut être récupéré sans payer la rançon. Cette opportunité se limite au point où le système redémarre pour la deuxième fois” – the FBI

L’opération du ransomware Mamba a commencé à augmenter son activité avec une nouvelle variante trouvée au second semestre 2019. Bien qu’il n’ait pas de programme d’affiliation, il a été parmi les principales menaces.

Selon un rapport de Coveware, dans le premier trimestre de l’année dernière Mamba faisait parti des cinq principales menaces de ransomware dirigé par REvil et Ryuk. Cela a changé au quatrième trimestre de 2020, bien qu’il ait continué d’être un risque notable.

L’une des particularités du ransomware Mamba est qu’il écrit sur le MBR, empêchant l’accès aux fichiers chiffrés sur le lecteur. Il est donc plus difficile de suivre le nombre d’attaques puisque les fichiers ne peuvent pas être analysés par le biais de services automatisés comme ID-Ransomware.

Le FBI fournit les détails suivants sur les artefacts qui pourraient aider les organisations à détecter une attaque du ransomware Mamba:

Artéfacts de clé
FichiersDescription
$dcsys$Localisé dans le root de chaque lecteur chiffré [C:\$dcsys$]
C:\Users\Public\myLog.txtFichier de log du ransomware
C:\Users\Public\myConf.txtFichier de configuration du ransomware
C:\Users\Public\dcapi.dllLogiciel exécutable DiskCryptor
C:\Users\Public\dcinst.exeLogiciel exécutable DiskCryptor
C:\Users\Public\dccon.exeLogiciel exécutable DiskCryptor
C:\Users\Public\dcrypt.sys Logiciel exécutable DiskCryptor
C:\Windows\System32\Drivers\dcrypt.sysPilote DiskCryptor installé
[Ransomware Filename].exeFichier assemblage .NET portable 32 bits compatible avec système Windows 32 bits
et 64 bits qui combine
DiskCryptor avec un message de rançon simple au démarrage
dcinst.exeSupport d’installation Cryptor
dccon.exeVersion de console de DiskCryptor
Services
myCryptoraphyService
Exécute [Ransomware Filename].exe en tant que service et est supprimé une fois que le chiffrement est complété

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire