Το νέο Mamona ransomware στοχεύει Windows συστήματα
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το νέο Mamona ransomware στοχεύει Windows συστήματα
https://www.secnews.gr/647921/neo-mamona-ransomware-stoxeuei-windows-sistimata/
May 9th 2025, 17:42
by Digital Fortress
Οι ειδικοί στην κυβερνοασφάλεια προειδοποιούν για ένα νέο ransomware, γνωστό ως Mamona, που εξαπλώνεται με ταχύ ρυθμό σε υπολογιστές με λειτουργικό σύστημα Windows.
Σε αντίθεση με τις κλασικές μορφές ransomware, το Mamona εφαρμόζει μια διαφορετική προσέγγιση, χρησιμοποιώντας το Windows "ping" command σαν μηχανισμό timing. Επίσης, λειτουργεί πλήρως offline, κάτι που δυσκολεύει τον εντοπισμό του και επιβραδύνει τις αντιδράσεις προστασίας.
Νέα απειλή στον χώρο του "commodity ransomware"
Το Mamona ανήκει στην κατηγορία του λεγόμενου "commodity ransomware", δηλαδή κακόβουλου λογισμικού που δεν χρησιμοποιείται αποκλειστικά από μεγάλες οργανωμένες ομάδες, αλλά πωλείται ή διανέμεται σε τρίτους, επιτρέποντας σε οποιονδήποτε να το αξιοποιήσει για επιθέσεις.
Δείτε επίσης: Ransomware ομάδες καταχρώνται το νόμιμο λογισμικό Kickidler
Αυτό το αποκεντρωμένο μοντέλο έχει οδηγήσει σε πληθώρα παραλλαγών που είναι δύσκολο να εντοπιστούν και να ελεγχθούν, με νέες μορφές ransomware να εμφανίζονται σχεδόν καθημερινά.
Ο κώδικας δημιουργίας του Mamona διέρρευσε πρόσφατα στο διαδίκτυο, διευκολύνοντας την ευρύτερη διάδοσή του. Από τη στιγμή που εντοπίστηκε, το Mamona άρχισε να χρησιμοποιείται από φορείς απειλών για ευκαιριακές κυβερνοεπιθέσεις, ενώ η ομάδα DragonForce κατάφερε να διεισδύσει και να διαρρεύσει κρίσιμα configuration files που συνδέονται με την υποδομή του κακόβουλου λογισμικού.
Πώς λειτουργεί το ransomware Mamona
Το Mamona διαφοροποιείται έντονα από άλλα ransomware λόγω της πλήρους απομόνωσης από εξωτερικά δίκτυα. Οι αναλυτές επιβεβαίωσαν ότι το κακόβουλο λογισμικό δεν δημιουργεί καμία εξωτερική σύνδεση, ούτε με διακομιστές Command and Control, ούτε για αποστολή δεδομένων ή οποιαδήποτε άλλη διαδικτυακή επικοινωνία.
Εκτελείται αθόρυβα και αποκλειστικά τοπικά, χωρίς να εκπέμπει κανένα σήμα που θα μπορούσε να προδώσει τη λειτουργία του. Αν και το σημείωμα λύτρων απειλεί με δημοσίευση δεδομένων σε περίπτωση μη συμμόρφωσης, αυτό φαίνεται να είναι ψευδής απειλή, καθώς μέχρι τώρα δεν έχει αποκαλυφθεί καμία κλοπή αρχείων.
Δείτε επίσης: Η Play ransomware εκμεταλλεύεται ελάττωμα Windows σε επιθέσεις zero-day
Η επίθεση ξεκινά με ένα ping command στο loopback address 127.0.0.7 — μια έξυπνη μέθοδος για να ξεγελάσει τα συστήματα που παρακολουθούν ύποπτη συμπεριφορά. Αμέσως μετά, ξεκινά ένα self-deletion routine μέσω του cmd.exe, με σκοπό να εξαφανίσει τα ίχνη του από το σύστημα του θύματος.
Κατόπιν, το ransomware προχωρά στην κρυπτογράφηση των αρχείων του χρήστη και μετονομάζει τα αρχεία, προσθέτοντας την επέκταση ".HAes".
Οι οδηγίες για τα λύτρα τοποθετούνται σε διάφορα σημεία του συστήματος, ενώ αλλάζει και η εικόνα φόντου της επιφάνειας εργασίας, για να υποδηλώσει την παρουσία της επίθεσης.
Παρά την επιθετική φύση του, ορισμένες τεχνικές επιλογές του Mamona ransomware αποδείχθηκαν ευνοϊκές για τα θύματα: ερευνητές ανέπτυξαν και δοκίμασαν ένα εργαλείο που μπορεί να αποκρυπτογραφήσει με επιτυχία τα αρχεία, επιτρέποντας την ανάκτηση των δεδομένων. Το εργαλείο αποκρυπτογράφησης αποδείχθηκε αποτελεσματικό στην αναστροφή της κρυπτογράφησης του Mamona. Αυτό οφείλεται στην περιορισμένη πολυπλοκότητα και την αναμενόμενη συμπεριφορά της μεθόδου που εφαρμόζει το κακόβουλο λογισμικό σε τοπικό επίπεδο.
Ωστόσο, οι ειδικοί στην ασφάλεια του κυβερνοχώρου επισημαίνουν πως η offline φύση του Mamona το καθιστά αόρατο στις περισσότερες παραδοσιακές μεθόδους παρακολούθησης δικτύου. Παράλληλα, η χρήση συνηθισμένων εντολών των Windows το βοηθά να μιμείται νόμιμες διεργασίες, κάνοντάς το ακόμα πιο δύσκολο να ανιχνευθεί.
Δείτε επίσης: Η ομάδα LockBit ransomware υπέστη σοβαρή διαρροή δεδομένων
Προστασία από ransomware επιθέσεις
• Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
• Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
• Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
• Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
• Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
• Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
• Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
• Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
• Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
• Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το νέο Mamona ransomware στοχεύει Windows συστήματα
https://www.secnews.gr/647921/neo-mamona-ransomware-stoxeuei-windows-sistimata/
May 9th 2025, 17:42
by Digital Fortress
Οι ειδικοί στην κυβερνοασφάλεια προειδοποιούν για ένα νέο ransomware, γνωστό ως Mamona, που εξαπλώνεται με ταχύ ρυθμό σε υπολογιστές με λειτουργικό σύστημα Windows.
Σε αντίθεση με τις κλασικές μορφές ransomware, το Mamona εφαρμόζει μια διαφορετική προσέγγιση, χρησιμοποιώντας το Windows "ping" command σαν μηχανισμό timing. Επίσης, λειτουργεί πλήρως offline, κάτι που δυσκολεύει τον εντοπισμό του και επιβραδύνει τις αντιδράσεις προστασίας.
Νέα απειλή στον χώρο του "commodity ransomware"
Το Mamona ανήκει στην κατηγορία του λεγόμενου "commodity ransomware", δηλαδή κακόβουλου λογισμικού που δεν χρησιμοποιείται αποκλειστικά από μεγάλες οργανωμένες ομάδες, αλλά πωλείται ή διανέμεται σε τρίτους, επιτρέποντας σε οποιονδήποτε να το αξιοποιήσει για επιθέσεις.
Δείτε επίσης: Ransomware ομάδες καταχρώνται το νόμιμο λογισμικό Kickidler
Αυτό το αποκεντρωμένο μοντέλο έχει οδηγήσει σε πληθώρα παραλλαγών που είναι δύσκολο να εντοπιστούν και να ελεγχθούν, με νέες μορφές ransomware να εμφανίζονται σχεδόν καθημερινά.
Ο κώδικας δημιουργίας του Mamona διέρρευσε πρόσφατα στο διαδίκτυο, διευκολύνοντας την ευρύτερη διάδοσή του. Από τη στιγμή που εντοπίστηκε, το Mamona άρχισε να χρησιμοποιείται από φορείς απειλών για ευκαιριακές κυβερνοεπιθέσεις, ενώ η ομάδα DragonForce κατάφερε να διεισδύσει και να διαρρεύσει κρίσιμα configuration files που συνδέονται με την υποδομή του κακόβουλου λογισμικού.
Πώς λειτουργεί το ransomware Mamona
Το Mamona διαφοροποιείται έντονα από άλλα ransomware λόγω της πλήρους απομόνωσης από εξωτερικά δίκτυα. Οι αναλυτές επιβεβαίωσαν ότι το κακόβουλο λογισμικό δεν δημιουργεί καμία εξωτερική σύνδεση, ούτε με διακομιστές Command and Control, ούτε για αποστολή δεδομένων ή οποιαδήποτε άλλη διαδικτυακή επικοινωνία.
Εκτελείται αθόρυβα και αποκλειστικά τοπικά, χωρίς να εκπέμπει κανένα σήμα που θα μπορούσε να προδώσει τη λειτουργία του. Αν και το σημείωμα λύτρων απειλεί με δημοσίευση δεδομένων σε περίπτωση μη συμμόρφωσης, αυτό φαίνεται να είναι ψευδής απειλή, καθώς μέχρι τώρα δεν έχει αποκαλυφθεί καμία κλοπή αρχείων.
Δείτε επίσης: Η Play ransomware εκμεταλλεύεται ελάττωμα Windows σε επιθέσεις zero-day
Η επίθεση ξεκινά με ένα ping command στο loopback address 127.0.0.7 — μια έξυπνη μέθοδος για να ξεγελάσει τα συστήματα που παρακολουθούν ύποπτη συμπεριφορά. Αμέσως μετά, ξεκινά ένα self-deletion routine μέσω του cmd.exe, με σκοπό να εξαφανίσει τα ίχνη του από το σύστημα του θύματος.
Κατόπιν, το ransomware προχωρά στην κρυπτογράφηση των αρχείων του χρήστη και μετονομάζει τα αρχεία, προσθέτοντας την επέκταση ".HAes".
Οι οδηγίες για τα λύτρα τοποθετούνται σε διάφορα σημεία του συστήματος, ενώ αλλάζει και η εικόνα φόντου της επιφάνειας εργασίας, για να υποδηλώσει την παρουσία της επίθεσης.
Παρά την επιθετική φύση του, ορισμένες τεχνικές επιλογές του Mamona ransomware αποδείχθηκαν ευνοϊκές για τα θύματα: ερευνητές ανέπτυξαν και δοκίμασαν ένα εργαλείο που μπορεί να αποκρυπτογραφήσει με επιτυχία τα αρχεία, επιτρέποντας την ανάκτηση των δεδομένων. Το εργαλείο αποκρυπτογράφησης αποδείχθηκε αποτελεσματικό στην αναστροφή της κρυπτογράφησης του Mamona. Αυτό οφείλεται στην περιορισμένη πολυπλοκότητα και την αναμενόμενη συμπεριφορά της μεθόδου που εφαρμόζει το κακόβουλο λογισμικό σε τοπικό επίπεδο.
Ωστόσο, οι ειδικοί στην ασφάλεια του κυβερνοχώρου επισημαίνουν πως η offline φύση του Mamona το καθιστά αόρατο στις περισσότερες παραδοσιακές μεθόδους παρακολούθησης δικτύου. Παράλληλα, η χρήση συνηθισμένων εντολών των Windows το βοηθά να μιμείται νόμιμες διεργασίες, κάνοντάς το ακόμα πιο δύσκολο να ανιχνευθεί.
Δείτε επίσης: Η ομάδα LockBit ransomware υπέστη σοβαρή διαρροή δεδομένων
Προστασία από ransomware επιθέσεις
• Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
• Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
• Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
• Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
• Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
• Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
• Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
• Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
• Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
• Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz