Quanto tempo impiega un ransomware moderno a distruggere la vostra vita digitale? Di solito qualche ora, a volte giorni. Mamona ci mette tre secondi. Tre secondi per entrare, criptare tutto quello che trova e sparire senza lasciare tracce.
Gli esperti che lo hanno scoperto lo definiscono “terrificantemente efficace” proprio per questa sua capacità di colpire e sparire come un fantasma. La cosa più inquietante? Non ha bisogno di internet per funzionare. Niente server di comando e controllo, niente comunicazioni esterne, niente di niente. Solo devastazione locale e autodistruzione programmata.
Il ransomware “minimalista” che spaventa i guru della sicurezza
Mamona rappresenta una svolta preoccupante nel panorama del cybercrime. Mentre i suoi “colleghi” più famosi come RansomHub o LockBit puntano su infrastrutture complesse e tecniche di doppia estorsione, questo nuovo arrivato ha scelto la strada opposta: semplicità devastante.
Mauro Eldritch, analista di sicurezza informatica di ANY.RUN, lo ha descritto come “un esempio perfetto di come l’efficacia non richieda necessariamente complessità”. Il malware esegue una routine di criptazione locale utilizzando algoritmi proprietari, rinomina i file con l’estensione .HAes e deposita una nota di riscatto chiamata README.HAes.txt. Poi sparisce.
La particolarità che fa tremare gli esperti è la totale assenza di comunicazioni esterne. Secondo SC Media, questa caratteristica abbassa drasticamente la soglia d’ingresso per cybercriminali meno esperti, che non devono più preoccuparsi di gestire server di comando e controllo. È il vaso di Pandora, e il coperchio sembra esploso.
Mamona, l’arte dell’inganno in tre secondi
(Piccola premessa: questo paragrafo è un pizzico tecnico. Se volete la notizia “semplice” saltate del tutto il box). Il trucco più elegante di Mamona sta nel suo meccanismo di temporizzazione. Invece di usare il classico indirizzo di loopback 127.0.0.1, il malware pinga l’indirizzo 127.0.0.7 per creare un ritardo di tre secondi. Un dettaglio apparentemente insignificante che però inganna molti sistemi di rilevamento automatico.
Il comando cmd.exe /C ping 127.0.0.7 -n 3 > Nul & Del /f /q non solo crea il ritardo necessario, ma avvia immediatamente la sequenza di autodistruzione
Questa tattica, analizzata nel dettaglio dai ricercatori di GBHackers, permette al ransomware di evitare le regole di rilevamento più comuni che cercano comportamenti standard. Quando i sistemi di sicurezza iniziano a rendersi conto di quello che sta succedendo, Mamona è già sparito da un pezzo.
La fase di autodistruzione elimina l’eseguibile originale, rendendo quasi impossibile l’analisi forense successiva. Gli investigatori si ritrovano con file criptati, una nota di riscatto e pochissime tracce digitali da seguire.
Il paradosso della semplicità devastante
La caratteristica più insidiosa di Mamona è la sua natura di “commodity”. Secondo l’analisi di Resecurity, il malware è stato utilizzato da affiliati del gruppo BlackLock prima di essere dismesso e successivamente acquisito da DragonForce.
Il fatto che uno dei suoi builder sia stato svelato e diffuso online ha reso questo strumento accessibile a chiunque, anche a criminali informatici alle prime armi. Non servono competenze avanzate in programmazione o gestione di infrastrutture complesse: basta scaricare, compilare e lanciare.
Come vi sottolineavo in questo articolo, l’intelligenza artificiale sta accelerando l’evoluzione del cybercrime, ma casi come Mamona dimostrano che a volte la vera minaccia viene dalla semplicità, non dalla sofisticazione.
Ransomware Mamona, la risposta degli esperti e le contromisure
Due risposte secche a due domande semplici. Si può fermare Mamona? Si. È facile? No. Possono farlo tutti? No. Servono regole specifiche per intercettare il ransomware: una per rilevare la creazione del file README.HAes.txt, un’altra per confermare la presenza del ransomware quando identifica sia l’attività della nota di riscatto che la sequenza di ritardo e autodistruzione.
La buona notizia è che alcuni ricercatori sono riusciti a ottenere un decryptor funzionante per Mamona, che nonostante l’interfaccia obsoleta riesce a ripristinare i file originali. La cattiva notizia è che questo successo potrebbe essere temporaneo: i creatori del malware potrebbero rilasciare versioni aggiornate per correggere le vulnerabilità scoperte.
PCRisk raccomanda di non pagare mai il riscatto, sottolineando che spesso i criminali non forniscono le chiavi di decifratura nemmeno dopo il pagamento. La strategia migliore rimane la prevenzione: backup regolari, aggiornamenti di sicurezza costanti e formazione del personale.
Mai fidarsi, insomma. Mamona ci ricorda che nel mondo della cybersecurity, a volte le minacce più pericolose sono quelle che fanno meno rumore.
