СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#ИБ

Программа-вымогатель Mamona: новая угроза для кибербезопасности

Программа-вымогатель Mamona: новая угроза для кибербезопасности

Источник: any.run

Программа-вымогатель Mamona привлекла значительное внимание экспертов по кибербезопасности после своего недавнего появления на рынке. Связь с филиалами BlackLock и уникальный подход к критическим операциям делают этот вид программ-вымогателей особенно тревожным.

Особенности Mamona

В отличие от более структурированных моделей «Программы-вымогатели как услуга», Mamona функционирует без официальных соглашений и представляет собой автономное решение. Ключевые характеристики включают:

  • Отсутствие связи с внешней сетью;
  • Отказ от традиционных каналов управления (C2);
  • Использование собственных механизмов шифрования;
  • Тактика временной задержки с использованием команды ping.

Тактика атаки

При запуске Mamona собирает системную информацию, такую как имя хоста и языковые настройки, что помогает выбрать оптимальные методы атаки. После разведки программа отправляет записку с требованием выкупа (файл README.HAes.txt) и приступает к шифрованию пользовательских файлов, добавляя расширение .HAes. В дополнение к этому, программа изменяет обои рабочего стола на предупреждающее сообщение о шифровании.

Криптографические аспекты

Криптографическая реализация Mamona вызывает сомнения. Программа не использует стандартные криптографические библиотеки, такие как Windows CryptoAPI или OpenSSL. Вместо этого она применяет собственную процедуру шифрования, основанную на низкоуровневых операциях. Риски, связанные с такой простотой, заключаются в следующем:

  • Ускорение процессов шифрования;
  • Слабый механизм шифрования, позволяющий жертвам восстанавливать данные.

Методы обнаружения и анализа

Анализ Mamona выявил использования платформы MITRE ATT&CK, включая тактики обнаружения и выполнения. Тактика включает:

  • Запрос системной информации через проверки реестра;
  • Использование командной оболочки для реализации временных задержек и самоудаления.

Заключение: угрозы и тенденции

Несмотря на менее сложные механизмы, отсутствие подключения C2 делает Mamona серьезной помехой для бизнеса, способной нарушить рабочие процессы и усложнить реагирование на инциденты. Простота конструкции Mamona усиливает ее скрытность, затрудняя обнаружение с помощью стандартных мер безопасности.

Утечка компоновщика программы, облегчающая ее развертывание, вызывает опасения по поводу роста числа пользователей среди менее опытных хакеров. Это может указывать на тревожную тенденцию к появлению программ-вымогателей, ориентированных на доступность, что подчеркивает меняющийся ландшафт киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: