02/12/2016

Ransomware Mamba fundowało darmowy przejazd po San Francisco

Zagrożenia

26 i 27 listopada pasażerowie korzystający z systemu komunikacji miejskiej San Francisco Municipal Railway dowiedzieli się, że nie muszą płacić za swoją podróż. Inaczej mówiąc, przez te dwa dni każda osoba mogła jeździć za darmo. Spełnienie socjalistycznych marzeń? Nie. Agencja SF Municipal Railway, znana także jako Muni, nie mogła sprzedawać biletów z powodu ataku programu żądającego okupu.

muni-ransomware-featured

Według niektórych problem wystąpił już kilka dni wcześniej, tuż przed amerykańskim Dniem Dziękczynienia, kiedy to na biletomatach oraz monitorach wyświetlających rozkłady jazdy pojawił się komunikat „You Hacked” — jak zwykle ransomware obwieściło swoją obecność nagle i niepoprawnie gramatycznie. Okazało się, że szkodliwy program o nazwie Mamba, będący odmianą zagrożenia HDDCryptor, zainfekował ponad 2 000 komputerów należących do agencji odpowiedzialnej za transport miejski, San Francisco Municipal Transport Agency (SFMTA).

Mamba (i HDDLocker, do końca postu będę je traktować jako całość) to program żądający okupu, który szyfruje cały dysk twardy i zmienia główny rekord startowy (MBR) tak, aby zainfekowane komputery nie ładowały swoich systemów operacyjnych, lecz wyświetlały wiadomość od hakerów.

Do utworzenia tego trojana autorzy częściowo wykorzystali narzędzia oparte na kodzie źródłowym, dzięki czemu byli w stanie m.in. utworzyć silny algorytm. Wobec tego nie istnienie znany sposób na odzyskanie plików zaszyfrowanych przez Mamba inny niż zapłata przestępcom.

Twórcy Mamby zmusili agencję SFMTA do napisania na adres cryptom27@yandex.com. Korzystając z tego adresu e-mail, dziennikarz z serwisu San Francisco Examiner mógł porozumieć się z przestępcami, którzy przedstawili się jako „Andy Saolis”.  Według grupy Saolis atak na Muni nie był ukierunkowany: system został zainfekowany, ponieważ osoba posiadająca uprawnienia administratora pobrała zainfekowany plik torrent.

Saolis powiedział również rozmówcy z serwisu Examiner, że za wznowienie działania komputerów SFMTA musi zapłacić 100 bitcoinów (około 73 000 dolarów). Wydaje się jednak, że agencja SFMTA poradziła sobie z problemem bez zapłacenia okupu — w niedzielę biletomaty znów działały.

Badający szkodliwe programy eksperci z Kaspersky Lab uważnie śledzą grupę odpowiedzialną za atak. Wygląda na to, że trojan ten jest zazwyczaj używany do atakowania firm i różnych organizacji: atak na Muni nie jest debiutem Mamby — a 100 bitcoinów to stosunkowo niewiele jak na cyberprzestępcze standardy. Okup zazwyczaj wynosi o wiele więcej.

Podsumowując: Mamba to paskudne zagrożenie. Jak można się przed nim zabezpieczyć?

  1. Agencja SFMTA dosyć szybko wróciła Muni do życia tylko dlatego, że posiadała kopie zapasowe. Warto wspomnieć, że kopie te nie były dostępne w sieci — gdyby tak było, prawdopodobnie również zostałyby zaszyfrowane.

Wniosek: bądź jak SFMTA i regularnie twórz kopie zapasowe swoich danych. Przechowuj je w chmurze lub na zewnętrznym dysku twardym, a nie na komputerze czy urządzeniach podłączonych do internetu.

  1. Możesz być nawet sprytniejszy niż SFMTA i nie dopuścić do infekcji zagrożeniem Mamba ani żadnym innym ransomwware. Korzystaj z dobrego programu zabezpieczającego. Kaspersky Internet Security wykrywa zagrożenie Mamba (jak również HDDCryptor i podobne) jako HEUR:Trojan.Win32.Generic i nie daje mu szansy na wykonanie swojej brudnej roboty.