Mamona ataca sin conexión a Internet, se autoelimina y engaña a tu antivirus: descubre qué la hace alarmantemente efectiva.
El ransomware Mamona deja un mensaje, altera los nombres de los archivos y desaparece.
Se ha detectado un nuevo tipo de ransomware denominado Mamona, que llama la atención por su diseño minimalista y su ejecución silenciosa en entornos locales. A diferencia de los malware convencionales que dependen de servidores de mando y control, Mamona opera de manera autónoma, lo que le permite evitar las herramientas que analizan el tráfico de red, lo que representa un desafío para los sistemas de seguridad.
El ransomware se ejecuta localmente en sistemas Windows como un archivo binario independiente. Este comportamiento offline expone una vulnerabilidad en las defensas convencionales, obligando a repensar las estrategias de detección de antivirus y otras herramientas de protección. Su método incluye un retraso inicial de tres segundos mediante un comando modificado, seguido de su autodelete, lo que minimiza los rastros forenses y dificulta el análisis posterior del malware.
Mamona utiliza una dirección IP poco común (127.0.0.7) para evitar los patrones de detección simples que podrían activar una alerta en sistemas tradicionales. A medida que infecta los archivos, los renombra con la extensión .HAes y deja una nota de rescate titulada README.HAes.txt, indicando que la operación de cifrado se ha completado. Expertos han señalado que la “naturaleza plug-and-play” de este malware hace que sea accesible para los delincuentes cibernéticos, contribuyendo a la creciente comercialización de este tipo de ransomware.
Para detectar a Mamona, los investigadores están integrando Sysmon para la captura de logs y utilizando reglas personalizadas que rastrean conductas específicas, como la creación de notas de rescate y los retrasos basados en ping. Se han establecido reglas específicas, como la 100901, que identifica la creación del archivo README.HAes.txt, y la 100902, que confirma la presencia del ransomware cuando se observan tanto la actividad de notas de rescate como también la secuencia de retraso y autodelete.
Wazuh, la plataforma de seguridad investigativa, está implementando reglas YARA junto con un sistema de Monitoreo de Integridad de Archivos en tiempo real para responder a Mamona antes de que cause daños. Si un archivo sospechoso es añadido o modificado, especialmente en la carpeta de descargas, se activa un escaneo YARA para responder de inmediato. Este enfoque proactivo recuerda a las estrategias de protección DDoS, actuando rápidamente antes de que se produzcan compromisos más profundos.
A medida que el ransomware continúa evolucionando, también deben hacerlo las soluciones antivirus. Aunque ninguna herramienta ofrece protección perfecta, las soluciones que permiten respuestas modulares proporcionan ventajas flexibles y en evolución para los defensores.
