Il ritorno del ransomware Mamba

I ransomware sono una tipologia di malware sempre più diffusa e quella che sicuramente provoca maggiori grattacapi alle vittime di un attacco informatico. WannaCry è probabilmente il nome più famoso, ma ci sono numerose alternative altrettanto pericolose. Uno dei più potenti è Mamba che, nonostante sia stato inserito nella categoria dei ransomware, ha come unico scopo la distruzione totale dei dati memorizzati sul disco rigido.

Mamba è salito agli onori delle cronache (informatiche) nel mese di novembre 2016, quando si è verificato un attacco contro la Municipal Transportation Agency di San Francisco. L’azienda che gestisce il trasporto pubblico è stata costretta ad aprire i gate per consentire ai viaggiatori di salire sui treni (gratis). Lo stesso gruppo di cracker ha ora utilizzato il malware per colpire alcune società in Brasile e Arabia Saudita. Considerati i bersagli scelti è molto probabile che si tratti di cybercriminali pagati da qualche governo straniero.

Come altri ransomware, Mamba sfrutta la crittografia per impedire l’accesso ai file, ma in realtà l’utente non potrà più recuperarli. in qualche modo i cracker riescono ad accedere alla rete aziendale e ad avviare il malware con l’utility PsExec. Il primo step prevede l’installazione di DiskCryptor, un tool open source per la cifratura del disco, e il riavvio del computer. Successivamente viene cambiato il Master Boot Record (MBR) e avviato il tool. L’intera partizione del disco viene quindi cifrata, impedendo l’accesso al sistema operativo.

Sfortunatamente non c’è nessun modo per decifrare il disco. DiskCryptor utilizza infatti algoritmi molto complessi (AES, Twofish, Serpent o una combinazione dei tre), praticamente inviolabili. Anche se viene mostrato il tipico messaggio di un ransomware, la chiave necessaria non verrà mai fornita alla vittima.