Ransomware Mamba cifra discos duros en lugar de archivos

Justo cuando parecía que la evolución del ransomware había concluido, una nueva clase ha sido descubierta, la cual se olvida del cifrado de archivos individuales y en su lugar cifra el disco duro del equipo.

El malware, llamado Mamba, ha sido encontrado en equipos en Brasil, Estados Unidos e India, de acuerdo con investigadores de Morphus Labs en Brasil. El malware fue descubierto por la compañía en respuesta a la infección de un cliente del sector energético en Brasil con subsidiarias en Estados Unidos e India.

Renato Marinho, un investigador de Morphus Labs, dijo a Threatpost que el ransomware está siendo distribuido mediante correos phishing. Una vez que la máquina es infectada, sobrescribe el Registro de Arranque Maestro (MBR, por sus siglas en inglés) con un MBR modificado, y a partir de ese momento, cifra el disco duro.

“Mamba cifra las particiones completas del disco”, Marinho comentó. “Usa criptografía a nivel de disco y no la estrategia tradicional de otros ransomware que cifran archivos individuales”.

El malware es una amenaza para Windows e impide que el sistema operativo de la máquina infectada inicie sin una contraseña, la cual es la llave de descifrado.

Las víctimas visualizan una nota exigiendo un bitcoin por cada equipo infectado como pago por la llave de descifrado e incluye un identificador numérico para la computadora infectada, y una dirección de correo electrónica a la cual debe solicitar la llave.

Mamba se une a Petya como un ransomware que focaliza el ataque a nivel de disco. Petya cifraba la tabla maestra de archivos (MFT, por sus siglas en inglés) en las máquinas que infectaba. Mamba, sin embargo, utiliza una herramienta de cifrado de disco de código abierto llamado DiskCryptor para encerrar a los discos duros comprometidos.

Fuente: Threatpost OS

ver información original al respecto en Fuente:

http://www.seguridad.unam.mx/noticia/?noti=3029