Um velho conhecido voltou a atacar empresas no Brasil. Pesquisadores da Kaspersky detectaram uma nova onda do poderoso ransomware Mamba, famoso por ter interditado o transporte público de São Francisco no ano passado.
O Mamba é particularmente danoso por criptografar o disco rígido inteiro, em vez de alguns arquivos. Ele é semelhante aos malware Petya e Mischa, assim como o ExPetr, responsável pelo maior surto global dos últimos tempos.
Ainda não se sabe quem está por trás da nova onda de ataques contra companhias brasileiras -negócios na Arábia Saudita também estão sendo afetados.
Entrevistados pelo Threatpost, os pesquisadores da Kaspersky Lab Juan Andres Guerrero Saade e Brian Bartholomew afirmam que essa onda de sabotagem cibernética disfarçada de extorsão vai continuar.
“Digamos que temos todos os meios para um ataque de sabotagem e queremos disfarçá-lo como ransomware ou algo potencialmente tratável”, diz Saade. “Mas não é necessariamente diferente do que o Grupo Lazarus fez com a Sony, ou alguns outros alvos sul-coreanos, quando primeiro pediram dinheiro e depois despejaram os dados de qualquer maneira. É uma evolução particularmente preocupante”.
Ao contrário dos ataques do ExPetr, em que é improvável que as vítimas recuperarem suas máquinas, talvez não seja o caso com o Mamba.
“Criadores de malware wiper (destruidores) não são capazes de decifrar as máquinas das vítimas. O ExPetr, por exemplo, usa uma chave gerada aleatoriamente para codificar uma máquina, mas não a guarda”, disse Orkhan Memedov, pesquisador da Kaspersky. No entanto, no caso de Mamba, a chave deve ser passada para o trojan, significando que o criminoso conhece essa chave e, em teoria, é capaz de libertar a máquina”.
O Mamba surgiu em setembro de 2016, quando pesquisadores da Morphus Labs disseram que o malware foi detectado em uma empresa de energia no Brasil com subsidiárias nos EUA e Índia. Ao infectar uma máquina Windows, ele substitui o Registro de inicialização (MBR) por um personalizado e criptografa o disco rígido usando um utilitário de criptografia de HD de código aberto chamado DiskCryptor.
“O Mamba tem sido usado em ataques direcionados contra empresas e infraestruturas críticas inclusive no Brasil”, di o analista sênior de maware da Kaspersky no Brasil, Fabio Assolini. “Diferentemente das outras famílias de ransomware, ele impossibilita o uso da máquina comprometida, exibindo o pedido de resgate logo e cifrando o disco por completo. O uso de um utilitário legítimo na cifragem é outra prova de que os autores visam causar o maior dano possível”.
“Infelizmente, não há nenhuma maneira de decodificar dados criptografados com o DiskCryptor, porque ele usa algoritmos de criptografia fortes”, aponta relatório da Kaspersky.