Mamona ransomware
A Mamona egy újonnan azonosított, úgynevezett commodity ransomware, amelyet a támadók egy építőprogram segítségével hoznak létre és terjesztenek. Ez a modell különbözik a szervezettebb Ransomware-as-a-Service (RaaS) rendszerektől, mivel nincs formális kapcsolat a fejlesztők és az operátorok között. A Mamona különösen figyelemre méltó, mivel teljesen offline működik: nem létesít kapcsolatot parancs- és vezérlőszerverekkel (C2), és nem végez adatlopást.
A ransomware minden titkosítási műveletet helyben hajt végre, saját, egyedi rutinokat használva, anélkül hogy standard kriptográfiai könyvtárakra támaszkodna. A támadás során a fájlokat .HAes kiterjesztéssel látja el, és több könyvtárban is elhelyezi a váltságdíj-követelést tartalmazó jegyzeteket. Bár a jegyzetek adatlopással fenyegetnek, az elemzés nem talált bizonyítékot arra, hogy a Mamona valóban adatokat exfiltrálna.
A Mamona egy érdekes időzítési technikát alkalmaz: egy ping parancsot küld az 127.0.0.7 címre, majd önmagát törli, hogy minimalizálja a nyomokat és megnehezítse a forenzics elemzést. Ez a módszer különösen alattomos, mivel megnehezíti a támadás utáni vizsgálatot.
Pozitívum, hogy létezik egy működő dekódoló eszköz, amely sikeresen visszaállítja a titkosított fájlokat. Bár az eszköz felhasználói felülete elavult, funkcionálisan hatékonyan végzi a visszafejtést.
A Mamona terjedését a BlackLock csoporthoz köthető kampányokban észlelték, és egy online építőprogramja is kiszivárgott a nyilvános internetre. Ezenkívül a DragonForce nevű csoport megszerezte és közzétette a Mamona fő weboldalának .env fájlját, ami további biztonsági aggályokat vet fel.
