Ransomware Mamona

Publicado hace 18 horas 21-05-2025

Recientemente se ha identificado un nuevo grupo de ransomware llamado Mamona, el cual ha sido destacado por sus técnicas de ataque, ya que opera fuera de la red y utiliza pings inversos para pasar desapercibido por las herramientas de monitoreo. Este grupo se diferencia de la mayoría de los demás debido a que utiliza técnicas diferentes al estándar actual de los ransomware, los cuales se centran en comprometer credenciales válidas, vulnerar VPN o aplicaciones críticas de las víctimas, pero todos estos modos de ataque son mediante la red lo que facilita la detección del ataque para las herramientas de detección y monitoreo de incidentes. 

Este ransomware es considerado más fácil de implementar, lo que lo hace menos sofisticado, ya que todo el ataque se lleva a cabo de manera local. Al infectar a las víctimas, utiliza un ping inverso en bucle hacia la dirección 127.0.0.7. Lo que hace el ping inverso es mandar pings a su misma dirección ip sin salir a la red. En el mismo comando en donde se ejecutó el ping el atacante también elimina el registro de este mismo para evitar que sea detectado.

Comando ejecutado [1]  

Después de ejecutar ese comando, cifra los datos y, como la mayoría de los ransomware, deja una nota de rescate en la que se amenaza a las víctimas con filtrar la información en caso de que no se pague el rescate. Pero, aunque los atacantes amenazan con filtrar la información, se ha detectado que este grupo de ransomware no cuenta con una página de filtraciones, por lo que la amenaza anterior solo sirve como técnica de persuasión. 

Nota de rescate [2] 

Otra de las peculiaridades de este grupo que lo diferencia de los demás, es la modificación del fondo de pantalla de los dispositivos infectados. EL fondo de pantalla es cambiado a un fondo negro con la leyenda “YOUR FILES HAVE BEEN ENCRYPTED! CHECK README.HAes.txt”. 

Fondo de pantalla de las victimas [3] 

Al ser un grupo que lleva su infección y todo el proceso de despliegue del ransomware de manera offline, es muy difícil de detectar al no haber algún trafico de red, sin embargo, existen indicadores de compromiso los cuales pueden ayudar a su detección temprana y evitar así que se llegue a materializar.

Taxonomía MITRE ATT&CK

Táctica 

ID de la técnica 

Nombre 

 

Detección 

T1012 

Registro de consultas 

 

T1082 

Detección de información del sistema 

 

Ejecución 

T1059.003 

Intérprete de comandos y scripting 

Evasión de defensa 

T1070.004 

Eliminación del indicador 

Impacto 

T1486 

Datos cifrados para impacto 

Indicadores de Compromiso:

IOC  

Tipo  

0f6d6ef9b82ece9dbbdc711ac00b5e6a 

MD5 

95ec6bc4046bd1d8486830637b01eed3 

MD5 

184.27.218.92 

IP 

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Eldritch, M. (2025, Mayo 12). Mamona: Technical Analysis of a New Ransomware Strain. ANY.RUN’s Cybersecurity Blog. Recuperado el 12 de mayo de 2025 en: https://any.run/cybersecurity-blog/mamona-ransomware-analysis/ 
  2. Baran, G. (2025, Mayo 9). New Mamona Ransomware Attack Windows Machines by Abusing Ping Commands. Cyber Security News. Recuperado el 12 de mayo de 2025 en: https://cybersecuritynews.com/mamona-ransomware-attack-windows-machines/ 
  3. LevelBlue - Open Threat Exchange. (2025, Mayo 7). LevelBlue Open Threat Exchange. Recuperado el 12 de mayo de 2025 en: https://otx.alienvault.com/pulse/681b395ae41f5ea9f3fa3a33 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Ransomware Mamona
Publicado hace 18 horas 21-05-2025

Recientemente se ha identificado un nuevo grupo de ransomware llamado Mamona, el cual ha sido destacado por sus técnicas de ataque, ya que opera fuera de la red y utiliza pings inversos para pasar desapercibido por las herramientas de monitoreo. Este grupo se diferencia de......

Martes de Parches de Microsoft
Publicado hace 1 día 20-05-2025

Como es costumbre los segundos martes de cada mes, Microsoft ha publicado las vulnerabilidades parcheadas de correspondientes al mes de mayo de 2025 en su página de avisos de seguridad. Este mes se publicaron 72 vulnerabilidades parcheadas, de las cuales 5 son clasificad......

Vulnerabilidades críticas en FortiMail y FortiOS de Fortinet
Publicado hace 1 semana 14-05-2025

 Fortinet ha publicado varias vulnerabilidades, esto debido a que, cada segundo martes de cada mes, hacen públicas las vulnerabilidades descubiertas entre su último aviso de seguridad y el actual. Dentro de estos avisos se encuentran dos vulnerabilidades cr&iac......

BOLETINES RECIENTES

...
Ransomware Mamona
Publicado hace 18 horas 21-05-2025
Leer más
...
Martes de Parches de Microsoft
Publicado hace 1 día 20-05-2025
Leer más
...
Vulnerabilidades críticas en FortiMail y FortiOS de Fortinet
Publicado hace 1 semana 14-05-2025
Leer más