عربستان سعودی و برزیل، هدف باج‌افزار Mamba

برخی منابع از انتشار هدفمند باج‌افزار Mamba در دو کشور عربستان سعودی و برزیل خبر داده‌اند.

در آذر ماه سال گذشته نیز، مهاجمان از نسخه ای از این باج‌افزار در حمله‌ای گسترده بر ضد آژانس حمل و نقل شهری سانفرانسیسکو آمریکا استفاده کرده بودند. حمله ای که منجر به غیرفعال شدن سیستم‌های پرداخت این آژانس و رایگان شدن حمل و نقل با اتوبوس و قطار به مدت دو روز شد.

به گزارش شرکت مهندسی شبکه گستر، Mamba از یکی از ابزارهای مجاز کدباز با نام DiskCryptor به‌منظور رمزگذاری استفاده می‌کند. یکی از خصوصیات ویژه – اما نه خاص – باج‌افزار Mamba رمزگذاری کل دیسک، بجای رمزگذاری فایل‌های ذخیره شده بر روی دیسک است.

بر اساس بررسی‌های انجام شده، مهاجمان حمله اخیر پس از دسترسی یافتن به شبکه سازمان هدف قرار گرفته شده از ابزار مجاز PsExec برای اجرای کد مخرب استفاده می‌کنند.

با آلوده شدن دستگاه، Mamba اقدام به جایگزین نمودن بخش Master Boot Record کرده و در ادامه، کل دیسک سخت را رمزگذاری می‌کند.

با راه‌اندازی شدن دستگاه نیز، اطلاعیه باج‌گیری مشابه شکل زیر ظاهر شده و ضمن اطلاع به کاربر در خصوص رمزگذاری شدن داده‌های کاربر، از او خواسته می‌شود تا جهت دریافت کلید رمزگشایی [و احتمالاً دستورالعمل پرداخت باج] با یکی از ایمیل‌های درج شده در پیام تماس حاصل شود.

با توجه به الگوریتم رمزگذاری قدرتمند ابزار مجاز DiskCryptor، بدون در اختیار داشتن کلید رمزگشایی، حداقل در حال حاضر، راهکاری برای برگرداندن اطلاعات سیستم‌های آلوده شده به حالت قبل فراهم نمی‌باشد.