Tamamen çevrimdışı olarak çalışan ve Windows Ping komutunu kötüye kullanan akıllı bir saldırı stratejisinden yararlanan “Mamona” olarak adlandırılan yeni bir fidye yazılımı suşu.
Uzak sunucularla iletişim kuran geleneksel fidye yazılımlarının aksine, Mamona tamamen çevrimdışı çalışır ve geleneksel ağ izleme araçlarıyla tespit edilmeyi özellikle zorlaştırır.
Mauro Eldritch, “Bu gerilim yükselen bir eğilimi vurguluyor: Erişilebilirlik için karmaşıklığı taşıyan fidye yazılımı. Dağıtım kolay, geleneksel araçlarla tespit edilmesi daha zor ve hala sistemleri ve baskı kurbanlarını ödemeye şifreleyecek kadar etkili” dedi.
.png
)
Mamona’yı benzersiz kılan “sessiz” işlemidir – gözlemlenen komut ve kontrol kanalları veya veri açığa çıkmadan tüm etkinlikleri yerel olarak gerçekleştirir.
Fidye yazılımı, basit algılama kurallarından kaçınması muhtemel standart 127.0.0.1 yerine olağandışı geri döngü adresi 127.0.0.7 ping yaparak kendine özgü bir gecikme mekanizması kullanır.
Bu gerilme, yükselen bir eğilimi vurgulamaktadır: erişilebilirlik için karmaşıklığı taşıyan fidye yazılımı. Dağıtım kolaydır, geleneksel araçlarla tespit edilmesi daha zordur ve sistemleri şifreleyecek ve kurbanları ödemeye basınç için yeterince etkilidir.
Mamona Ransomware’in şifreleme ve şaşkınlığı
Enfeksiyon üzerine Mamona dikkatle tasarlanmış bir dizi adım yürütür. İlk olarak, ping komutunu ham bir zamanlama mekanizması olarak kullanır, ardından adli analizi sınırlamak için hemen bir kendi kendine aşınma komutu gelir.
Kısa gecikme tamamlandığında, komutun ikinci kısmı yürütülebilir dosyayı DEL /F /Q kullanarak diskten silmeye çalışır ”diye açıkladı araştırmacı Mauro Eldritch.
Bilgisayar adı ve yapılandırılmış dil gibi temel sistem bilgilerini toplayarak keşif yapar.
Dosyalar, standart kütüphaneler yerine ev yapımı bir şifreleme rutini kullanılarak şifrelenir, tüm şifreleme mantığı düşük seviyeli bellek manipülasyonu ve aritmetik işlemler yoluyla uygulanır.
Etkileşimli kötü amaçlı yazılım analizi için herhangi bir.Run’un etkileşimli sanal alanını deneyin
Şifrelenmiş dosyalar “.haes” uzantısını alır (örneğin, “Document.pdf” “Document.pdf.haes” olur) ve “Readme.haes.txt” başlıklı bir fidye notu birden çok dizine bırakılır.
Dosyalar, standart şifreleme kütüphaneleri yerine özel, ev yapımı bir şifreleme rutini kullanılarak şifrelenir ve .haes uzantısı ile yeniden adlandırılır.
Fidye yazılımı, “dosyalarınız şifrelendi!” Diye görüntülemek için masaüstü duvar kağıdını değiştirir.
Fidye notunda çalıntı verileri sızdırmakla tehdit etmesine rağmen, analiz Mamona’nın gerçek veri açığa çıkmadığını doğrular. Güvenlik uzmanları, “Kelimenin tam anlamıyla bir ağ faaliyeti yok, bu yüzden bu kurbanı fidye ödemeye zorlamak için bir tehdit gibi görünüyor” dedi.
Mamona, daha önce Embargo adlı başka bir suşa bağlı olan Blacklock Ransomware bağlı kuruluşları tarafından işletilen kampanyalara bağlandı. Fidye yazılımı, Dragonforce Grubunun Mart 2025’te söküldükten sonra operasyonları devraldığında ek şöhret kazandı.
Mamona nispeten zayıf şifreleme yöntemleri kullanırken, çevrimdışı operasyonu ve düşük vasiyetli siber suçlular için kullanım kolaylığı hem bireyler hem de kuruluşlar için önemli riskler oluşturmaktadır.
Fidye yazılımı özellikle sofistike güvenlik izlemesi olmadan küçük ve orta ölçekli işletmeleri tehdit eder.
Neyse ki, güvenlik araştırmacıları bir çalışma şifre çözme aracını belirlediler ve test ettiler. Araştırmacılar, “Eski bir arayüze sahip Decrypter’a rağmen, şifreli dosyaları etkili bir şekilde geri yüklüyor” dedi.
Mamona’nın ortaya çıkışı, fidye yazılımı manzarasında bir eğilimi güçlendirir-bu, sofistike, sadeliğe öncelik veren, daha az teknik siber suçlular için girişe düşen kolay erişilebilir, inşaatçı tabanlı fidye yazılımlarına doğru kayma.
Şirketinize herhangi bir.run çözümlerini entegre edin – ücretsiz deneme alın