Die Ransomware Mamba schenkt Fahrgästen der San Francisco Muni freie Fahrt

Ransomware infiziert 2.000 Computer der SFMTA und schenkt Fahrgästen freie Fahrt am Wochende.

An diesem Wochenende, 26. und 27. November, erlebten Fahrgäste der San Francisco Municipal Railway eine Überraschung: die Fahrt war kostenlos. Jeder hatte an diesen zwei Tagen freie Fahrt. Ein wahrgewordener Traum eines Sozialisten? Nein. Die SF Municipal Railway, auch Muni genannt, konnte aufgrund eines Ransomware-Angriffs keine Fahrkarten mehr verkaufen.

Mamba ransomware allows riders free entry to San Francisco Muni

Medien behaupten, dass das Problem schon einige Tage zuvor bemerkbar war, kurz vor Thanksgiving, als Fahrkartenautomaten und Tafeln die Nachricht „You hacked“ (Sie wurden gehackt) anzeigten – wie üblich, kündigte sich die Ransomware mit vielen grammatikalischen Fehlern an. Es scheint, dass die Ransomware mit dem Namen Mamba, die eine Variante von HDDCryptor ist, mehr als 2.000 Computer der San Francisco Municipal Transport Agency (SFMTA) außer Betrieb setzte.

Mamba (und HDDLocker; lassen Sie uns beide in diesem Post als ein und dieselbe Ransomware betrachten) ist eine Ransomware, die die ganze Festplatte verschlüsselt und den Master Boot Record (MBR) ändert, wodurch die infizierten Computer das Betriebssystem nicht starten können und stattdessen die Nachricht der Kriminellen anzeigen.

Die Entwickler von Mamba verwendeten Open-Source-Geräte als Teil des Trojaners, wodurch sie u. a. einen starken Algorithmus erstellen konnten. Daher gibt es keinen bekannten Weg, um von Mamba verschlüsselte Dateien zurückzuerhalten, ohne die Kriminellen bezahlen zu müssen.

Die Mamba-Täter zwangen die SFMTA dazu, sie über cryptom27@yandex.com zu kontaktieren; ein Journalist vom San Francisco Examiner konnte mit den Kriminellen reden, die sich selbst als „Andy Saolis“ vorstellten. Sie sagten, dass der Angriff auf Muni nicht gezielt war; das System wurde einfach dadurch infiziert, dass jemand mit Admin-Rechten eine infizierte Torrent-Datei herunterlud.

Saolis erklärten dem Examiner auch, dass die SFMTA ihnen 100 Bitcoin (umgerechnet ca. 70.000 €) zahlen müsste, damit die Computer wieder betriebsfähig wären. Aber es scheint, dass die SFMTA das Problem ohne eine Lösegeldforderung lösen konnte; bereits am Sonntag funktionierten die Fahrkartenautomaten wieder.

Die Antimalware-Forscher von Kaspersky Lab sind den Verantwortlichen für diesen Angriff auf der Spur. Es scheint, dass Mamba normalerweise dazu verwendet wird, um Unternehmen und Organisationen anzugreifen. Der Muni-Angriff ist nicht der erste Erfolg von Mamba – und tatsächlich sind 100 Bitcoin recht wenig für kriminelle Verhältnisse. Normalerweise fordern sie viel mehr.

Mamba scheint demnach eine recht lästige Bedrohung. Wie können Sie sich und Ihr Unternehmen vor ihr schützen?

1. Die SFMTA konnte Muni recht schnell wieder auf Vordermann bringen, da sie Sicherungskopien angefertigt hatte. Es muss erwähnt werden, dass diese Kopien nicht auf Netzwerkfreigaben gespeichert waren; andernfalls hätte Mamba sie ebenfalls verschlüsselt.

Die gezogene Lehre: Seien Sie wie die SFMTA und erstellen Sie regelmäßig Sicherungskopien Ihrer Daten. Speichern Sie die Backups in der Cloud oder auf externen Festplatten, nicht auf Ihrem Computer oder mit dem Internet verbundenen Geräten.

2. Seien Sie sogar klüger als die SFMTA und vermeiden Sie eine Infektion durch Mamba oder andere Ransomware. Verwenden Sie stattdessen eine gute Sicherheitslösung. Kaspersky Internet Security erkennt Mamba (und HDDCryptor, u. ä.) als HEUR:Trojan.Win32.Generic und bietet dieser Ransomware keine Möglichkeit, alles zu verschlüsseln.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.