В современных условиях обнаружить новые штаммы вымогательского ПО стало проще без особых усилий, однако ландшафт угроз от ransomware гораздо более широк, особенно если говорить о товарном ransomware. Этот тип вымогательского ПО разрабатывается группами, которые продают его сторонним операторам без официальных соглашений или контрактов, различаясь таким образом от модели Ransomware-as-a-Service (RaaS).
Описание
Существует множество новых продуктов в области киберпреступности, которые трудно отследить, поскольку они не имеют прямой связи между собой. Один из таких новых штаммов - Mamona Ransomware, который, несмотря на свой недавний появление, уже привлек к себе внимание. Этот штамм действует в одиночку, не поддерживая сетевое взаимодействие и используя собственные криптографические процедуры.
Mamona Ransomware использует обфусцированную технику задержки и предлагает ложные угрозы о данных для шифрования файлов и требования выкупа. Несмотря на свой несовершенный дизайн, расшифровщик штамма эффективно возвращает зашифрованные файлы. Важно отметить, что Mamona демонстрирует атаки на локальном уровне, не взаимодействуя с внешними узлами сети.
Ransomware демонстрирует нестандартный подход к криптографии, использует собственные процедуры шифрования и обходит стандартные библиотеки. На практике это может увеличить шансы на успешную дешифрацию файлов. Несмотря на свое отсутствие сетевого взаимодействия, Mamona способна нанести серьезный локальный ущерб, применяя такие методы, как задержка времени с использованием команды ping и возможность самоуничтожения.
Индикаторы компрометации
SHA256
- b6c969551f35c5de1ebc234fd688d7aa11eac01008013914dbc53f3e811c7c77
- c5f49c0f566a114b529138f8bd222865c9fa9fa95f96ec1ded50700764a1d4e7