Ransomware Mamba erneut für Angriffe auf Firmen genutzt

Die Ransomware Mamba ist wieder da. Bereits Ende vergangenen Jahres hatte die gefährliche Verschlüsselungssoftware großen Schaden angerichtet. Die Besonderheit des Erpresser-Schadprogramms ist, dass es nicht nur einzelne Dateien verschlüsselt, sondern die gesamte Festplatte sperrt. Damit sind die Daten für die Opfer verloren.

Mamba hatte im November des vergangenen Jahres mit der San Francisco Municipal Transportation Agency ein prominentes Opfer gefunden. Nach einer erfolgreichen Attacke mit Mamba hatte die Verkehrsgesellschaft sämtliche Passagiere ohne Fahrschein passieren lassen. Die ersten Angriffe mit der Schadsoftware hatte es bereits zwei Monate zuvor gegeben.

Kaspersky Labs meldet nun in einem Blog, dass die Organisation, die hinter diesem Schädling steht offenbar die Arbeit wieder aufgenommen hat. Die Angriffe richten sich auch ausschließlich an Unternehmen. Derzeit stellen die Kaspersky-Spezialisten vor allem Angriffe in Brasilien und Saudi Arabien fest.

So stellt die Ransomware Mamba ihre Forderungen. Die gesamte Festplatte wird verschlüsselt und aufgrund der starken Algorithmen von DiskCryptor ist eine Entsperrung nicht möglich. (Bild: Kaspersky)

Opfern dieser Schadsoftware bleibt nichts anderes übrig, als den Forderungen nachzukommen. Ob aber die überspielten Passwörter tatsächlich in jedem Fall die Platten wieder frei geben, teilt Kaspersky nicht mit.

Der Schädling setzt das Open-Source-Tool DiskCryptor ein. „Unglücklicherweise gibt es keine Möglichkeit, die Daten, die mit DiskCryptor verschlüsselt wurden, wieder herzustellen, denn diese legitime Utility verwendet starke Verschlüsselungsalgorithmen“, kommentieren Anton Ivanov und Orkhan Mamedov in dem Blog.

Die Hintermänner der Ransomware Mamba nutzen eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software DiskCryptor. (Bild: Kaspersky)

Die Angreifer haben sich auf Unternehmen und andere große Organisationen spezialisiert. Für jedes System in einem infizierten Netzwerk wird ein eigenes Passwort erstellt. Anders als in den meisten anderen Fällen, berechnen die Kriminellen jedoch keinen Festpreis, sondern machen die Lösegeldzahlung von der Zahl der infizierten Systeme abhängig.

Derzeit ist völlig unklar, wer hinter dieser Attacke steht. Es wird aber vermutet, dass es entweder hochgradig professionell organisierte Kriminelle sind, oder dass diese Attacke von einem Staat gefördert wird.