{"id":9424,"date":"2016-12-01T16:13:18","date_gmt":"2016-12-01T16:13:18","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=9424"},"modified":"2017-11-13T16:41:39","modified_gmt":"2017-11-13T14:41:39","slug":"mamba-hddcryptor-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/mamba-hddcryptor-ransomware\/9424\/","title":{"rendered":"Il ransomware Mamba fa viaggiare gratis sulla Muni di San Francisco"},"content":{"rendered":"

Lo scorso fine settimana, il 26 e il 27 novembre, la gente che ha viaggiato con la San Francisco Municipal Railway ha potuto constatare, con sorpresa, di non dover pagare<\/a> il biglietto. Tutte le persone hanno viaggiato gratis entrambi i giorni. Un sogno socialista che diventa realt\u00e0? No. La San Francisco Municipal Railway, meglio nota come Muni, non ha potuto vendere biglietti perch\u00e9 \u00e8 stata attaccata da un ransomware.<\/p>\n

\"Mamba<\/p>\n

Alcuni mezzi di comunicazione sostengono <\/a>che il problema si era verificato un paio di giorni prima, prima del Giorno del Ringraziamento, quando le macchinette per la vendita dei biglietti e i monitor degli orari avevano iniziato a visualizzare il messaggio \u201cVoi hackerati\u201d (come sempre i ransomware si annunciano con tanti errori grammaticali). Sembra che il ransomware, chiamato Mamba, una variante dell\u2019HDDCryptor<\/a>, abbia\u00a0colpito oltre 2000 computer fuori uso appartenenti all\u2019agenzia di trasporti di San Francisco (SFMTA).<\/p>\n

Mamba (e HDDLocker; consideriamoli una cosa sola per il resto di questo post) \u00e8 un ransomware che cripta l\u2019intero hard disk e cambia il master boot record (MBR) per evitare che i computer infetti carichino i propri sistemi operativi, visualizzando al contrario il messaggio dei criminali.<\/p>\n

I creatori di Mamba hanno utilizzato strumenti open-source come parti di un Trojan e questo, tra le altre cose, li ha aiutati a creare un forte algoritmo. Quindi non esiste un modo per riavere indietro i file criptati da Mamba senza pagare i criminali<\/strong>.<\/p>\n

Gli autori di Mamba hanno esortato l\u2019SFMTA a contattarli a cryptom27@yandex.com<\/a><\/em>; \u00a0utilizzando questo indirizzo mail, un giornalista del San Francisco Examiner<\/a><\/em> \u00e8 stato in grado di parlare con i criminali, che si sono presentati come \u201cAndy Saolis\u201d. Secondo quanto affermato da Saolis, l\u2019attacco al Muni non era un attacco voluto; il sistema si \u00e8 infettato semplicemente perch\u00e9 qualcuno con privilegi di amministratore ha scaricato un file torrent infetto.<\/p>\n

Saolis ha anche detto all\u2019Examiner<\/em> che l\u2019SFMTA deve pagare loro 100 bitcoin (circa 73.000 dollari) per fare in modo che i computer tornino ad essere operativi. Ma sembra che l\u2019SFMTA fosse stata in grado di affrontare il problema senza pagare il riscatto; domenica le macchinette che emettevano i biglietti funzionavano di nuovo.<\/p>\n

I ricercatori antimalware di Kaspersky Lab tengono d\u2019occhio i responsabili dell\u2019attacco. Sembra che Mamba sia usato in genere per attaccare le imprese e le organizzazioni; l\u2019attacco al Muni non \u00e8 la prima conquista di Mamba (e in realt\u00e0, 100 bitcoin sono una piccola somma per gli standard di questi criminali. In genere chiedono di pi\u00f9).<\/p>\n

Dunque, Mamba sembra proprio una brutta minaccia. Cosa si pu\u00f2 fare per proteggere voi e la vostra azienda?<\/p>\n

1. L\u2019SFMTA \u00e8 stata in grado di risvegliare Muni e di avviarlo abbastanza velocemente perch\u00e9 era in possesso dei backup. Vale la pena dire che questi backup non si trovavano sulla condivisione di rete, altrimenti Mamba avrebbe criptato anche questi.<\/p>\n

La morale \u00e8 questa: comportatevi come l\u2019SFMTA ed effettuate regolarmente il backup dei vostri dati. Conservate i backup sia nel cloud che in hard disk esterni, non sul vostro computer o sui dispositivi connessi alla rete.<\/p>\n

2. Siate anche pi\u00f9 intelligenti dell\u2019SFMTA ed evitate di essere infettati da Mamba o da qualsiasi altro ransomware. Al contrario, utilizzate una buona soluzione di sicurezza. Kaspersky Internet Security<\/a> rileva Mamba (o HDDCryptor e altri ransomware simili) come HEUR:Trojan.Win32.Generic e non permette loro di criptare nulla.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un ransomware infetta 2000 computer dell’SFMTA e fa viaggiare gratis sulla Muni nel fine settimana.<\/p>\n","protected":false},"author":696,"featured_media":9425,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[2279,2278,638,635,2280],"class_list":{"0":"post-9424","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-hddcryptor","10":"tag-mamba","11":"tag-minacce","12":"tag-ransomware","13":"tag-san-francisco"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mamba-hddcryptor-ransomware\/9424\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/10519\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mamba-hddcryptor-ransomware\/8034\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/8050\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mamba-hddcryptor-ransomware\/9620\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mamba-hddcryptor-ransomware\/13663\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mamba-hddcryptor-ransomware\/2691\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/13539\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mamba-hddcryptor-ransomware\/6375\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mamba-hddcryptor-ransomware\/6770\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mamba-hddcryptor-ransomware\/5778\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mamba-hddcryptor-ransomware\/9302\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mamba-hddcryptor-ransomware\/13344\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mamba-hddcryptor-ransomware\/13663\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mamba-hddcryptor-ransomware\/13539\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mamba-hddcryptor-ransomware\/13539\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9424","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=9424"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9424\/revisions"}],"predecessor-version":[{"id":10680,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/9424\/revisions\/10680"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/9425"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=9424"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=9424"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=9424"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}