À Propos
Contact
vu sur le blog du hacker france 2
leblogduhacker
Le Blog du HackerCe qui est sécurisé à 99% n'est pas sécurisé

Mamona : un nouveau ransomware qui chiffre sans le moindre appel réseau

  1. Accueil
  3. Actualités
  5. Mamona : un nouveau ransomware qui chiffre sans le moindre appel réseau

Note de l’éditeur : Cet article est rédigé par Mauro Eldritch, expert en sécurité offensive et analyste en renseignement sur les menaces. Vous pouvez retrouver Mauro sur X.

De nos jours, il est facile de tomber sur de nouvelles souches de ransomware sans trop d’effort. Mais le paysage des menaces liées aux ransomwares est bien plus vaste qu’il n’y paraît, surtout lorsqu’on explore le monde des ransomwares « de commodité ». Ce type de ransomware est développé par un groupe qui vend un générateur (aussi dit builder) à des opérateurs tiers, sans aucun accord ou contrat formel entre eux, contrairement au modèle plus organisé du Ransomware-as-a-Service (RaaS).

Dans ce milieu, on voit apparaître chaque jour une multitude de nouveaux produits sur les étagères de la cybercriminalité. Ils sont bien plus difficiles à suivre, car les victimes, les souches, l’infrastructure et les versions n’ont souvent aucun lien direct entre eux.

Jetons un œil à l’un d’eux : Mamona Ransomware. Jamais entendu parler ? C’est sans doute parce qu’il s’agit d’une nouvelle souche, mais malgré sa courte existence, elle a déjà fait parler d’elle. Elle a été repérée dans des campagnes menées par des affiliés de BlackLock (également liés à Embargo), l’un de ses générateurs en ligne a été exposé puis divulgué sur le clearnet, et le groupe DragonForce est même allé jusqu’à voler le fichier .env du site principal, le publiant sur leur site de fuites dédié sur Tor avec le titre : « Est-ce votre fichier .env ? »

Alors, découvrons ensemble de quoi il s’agit exactement.

mamona rancongiciel

Le rançongiciel Mamona en action

Ransomware Mamona : les points clés à retenir

  • Menace émergente : Mamona est une nouvelle souche de ransomware « de commodité », identifiée récemment, distribuée via un générateur divulgué, et utilisée par des opérateurs non affiliés.
  • Aucune communication externe : Le malware fonctionne entièrement hors ligne, sans canal de Commandement et Contrôle (C2) ni exfiltration de données observée.
  • Chiffrement local uniquement : Tous les processus cryptographiques sont exécutés localement à l’aide de routines personnalisées, sans recours aux bibliothèques standards.
  • Technique de temporisation obscurcie : Un ping vers l’adresse 127.0.0.7 est utilisé comme mécanisme de temporisation, suivi d’une commande d’auto-suppression pour réduire les traces judiciaires.
  • Fausse menace d’extorsion : La note de rançon menace de divulguer des données, mais l’analyse confirme qu’aucune exfiltration n’a réellement eu lieu.
  • Comportement de chiffrement des fichiers : Les fichiers utilisateurs sont chiffrés et renommés avec l’extension .HAes ; des notes de rançon sont déposées dans plusieurs répertoires.
  • Déchiffrement possible : Un outil de déchiffrement fonctionnel a été identifié et testé avec succès, permettant de récupérer les fichiers.
  • Cartographie comportementale : L’activité de Mamona correspond à plusieurs techniques du framework MITRE ATT&CK, reflétant principalement un impact en mode hors ligne.
  • Fonctionnel malgré une conception médiocre : Le déchiffreur dispose d’une interface obsolète, mais parvient à restaurer efficacement les fichiers chiffrés.

Ce ransomware émergent peut être clairement observé dans l’environnement sandbox basé sur le cloud d’ANY.RUN. Vous pouvez consulter ci-dessous une session d’analyse complète pour un aperçu visuel détaillé.

Voir la session d’analyse du ransomware Mamona

Hors ligne et dangereux : les tactiques silencieuses de Mamona

Lorsque l’on entend parler de ransomware, on pense généralement à une menace externe qui exfiltre des fichiers sensibles, chiffre les versions locales, puis réclame une rançon — le cycle classique du ransomware. Mais ici, c’est différent. Celui-ci ne communique pas du tout avec le réseau, se comportant de manière surprenante comme un ransomware muet. Jusqu’à présent, les seules connexions qu’il tente sont locales, à l’exception d’une vers le port 80 (HTTP), sans qu’aucune donnée ne soit réellement envoyée ou reçue.

Une connexion sur le port 80 est tentée, mais non établie

Cette absence de communication réseau suggère fortement que la clé de chiffrement est soit générée localement à la volée, soit codée en dur dans le binaire lui-même. À moyen terme, cela augmente les chances de rétroconception d’un outil de déchiffrement fonctionnel — ce qui, heureusement, est déjà le cas ici.

Une analyse plus approfondie révèle que le logiciel de chiffrement repose entièrement sur des routines maison. Il n’y a aucun appel aux bibliothèques cryptographiques standard, aucune utilisation de la CryptoAPI de Windows, ni de référence à des modules externes comme OpenSSL. À la place, toute la logique cryptographique est implémentée en interne, à l’aide de manipulations de mémoire bas niveau et d’opérations arithmétiques.

Simplifiez et améliorez la détection de malwares grâce à l’analyse approfondie dans le sandbox interactif d’ANY.RUN.
Profitez d’une offre limitée jusqu’au 31 mai pour obtenir des licences gratuites pour votre équipe.

Une routine clé se trouve à des offsets internes tels que 0x40E100. Cette fonction est appelée de manière répétée après avoir empilé des registres et des pointeurs de mémoire tampon sur la pile, et elle présente des schémas typiques d’une logique symétrique personnalisée.

Logique de chiffrement personnalisée sans cryptographie standard

La structure symétrique renforce l’hypothèse d’une clé statique ou facilement dérivable, faisant de Mamona un exemple parlant de ransomware de commodité qui privilégie la simplicité à la robustesse cryptographique.

Cela dit, ce n’est pas parce que ce malware ne communique pas avec des hôtes externes qu’il ne peut pas causer de sérieux dégâts en local. Voyons cela de plus près.

Comment Mamona exécute son attaque

La première action de Mamona est d’exécuter une commande ping comme mécanisme rudimentaire de temporisation, qu’il enchaîne avec une routine d’auto-suppression via cmd.exe.

L’utilisation de ping 127.0.0.7 est une astuce classique dans les malwares de commodité : au lieu d’utiliser les API de temporisation intégrées (comme Sleep) ou des minuteurs — souvent repérés par les systèmes de surveillance comportementale — le malware envoie des requêtes ping vers une adresse IP loopback, ce qui permet de mettre en pause l’exécution.

Fait intéressant, il utilise 127.0.0.7 au lieu du plus courant 127.0.0.1, probablement comme forme basique d’obfuscation. Cela reste dans le bloc réservé aux adresses localhost (127.0.0.0/8), mais peut contourner certaines règles de détection simples ciblant spécifiquement 127.0.0.1.

Un mécanisme de temporisation rudimentaire mais efficace

Une fois le court délai écoulé, la seconde partie de la commande tente de supprimer l’exécutable du disque à l’aide de Del /f /q. Comme un processus ne peut pas se supprimer lui-même pendant son exécution, toute cette séquence est lancée dans un processus shell distinct. C’est une méthode simple mais efficace d’auto-nettoyage, conçue pour réduire les traces forensiques après l’infection.

Même si le mécanisme n’est pas simple, ANY.RUN en comprend l’intention cachée et signale le comportement.

Mamona commence par une phase de reconnaissance simple, en collectant des données de base sur la machine, telles que le nom du système et la langue configurée. Il dépose ensuite une note de rançon (README.HAes.txt) non seulement sur le Bureau, mais aussi de manière récursive dans de nombreux dossiers, augmentant ainsi les chances que la victime la voie.

Routine de reconnaissance et dépôt de la note de rançon

Après le dépôt de la note de rançon, Mamona commence à chiffrer les fichiers utilisateurs, les renommant avec l’extension .HAes et les rendant inaccessibles. Pour renforcer l’impact, il modifie le fond d’écran du système avec un avertissement clair : « Vos fichiers ont été chiffrés ! »

Les fichiers reçoivent une nouvelle extension

La note de rançon contient des liens vers un site de fuite dédié (DLS) et un support de discussion pour les victimes, tous deux accessibles sur Tor. Elle affirme également : « Nous avons volé une quantité importante de vos fichiers importants sur votre réseau » et « Refusez de payer : vos données volées seront publiées publiquement », mais cela n’a en réalité pas lieu, comme nous l’avons vu plus tôt. Il n’y a littéralement aucune activité réseau, ce qui laisse penser que cette menace vise uniquement à forcer la victime à payer la rançon.

“Mamona, R.I.P!”. Note donnée avec quelques mensonges

Mais nous avons un atout dans notre manche. Pour cette analyse, en plus de l’échantillon du malware, nous avons également réussi à obtenir un déchiffreur grâce à Merlax, un ami et chercheur en malware. Voyons comment il fonctionne.

Déchiffrer Mamona : casser la logique du ransomware

Nous avons affaire à un « Ctrl-Z » sous forme d’exécutable, alors donnons-lui sa chance et voyons ses performances. Visuellement, c’est un désordre : l’interface ressemble à un projet amateur réalisé avec une ancienne version de Visual Studio. Les éléments de l’interface sont mal rendus, souvent mal alignés ou coupés en dehors des bordures de la fenêtre.

Mais le moteur interne fait bien mieux son travail que le frontend, et les fichiers retrouvent leur état normal.

Les fichiers sur le bureau sont à nouveau dans leur état normal

En analysant le déchiffreur, nous trouvons une fonction interne intéressante à l’offset 0x40C270. Tout comme dans l’échantillon du ransomware, on observe une série d’opérations bas niveau : alignement sur des frontières de 4 octets (avec $0xfffffffc, %ecx), des offsets mémoire fixes (addition de $0x23), et l’utilisation répétée d’instructions telles que mov, lea et des opérations arithmétiques, toutes caractéristiques d’une routine symétrique construite sur mesure.

Malgré l’absence d’une opération XOR traditionnelle, la logique semble réversible et cohérente avec des mécanismes de chiffrement faits maison.

Désassemblage du déchiffreur autour de l’offset 0x40C270

Nous avons déjà infecté notre machine de test et l’avons vaccinée, et nous sommes prêts pour la prochaine étape de notre parcours : la matrice ATT&CK. Comme d’habitude, ANY.RUN s’en charge automatiquement.

Cartographier la menace : Mamona via MITRE ATT&CK

L’intégration ATT&CK d’ANY.RUN facilite la compréhension et le suivi du comportement des malwares en profilant leurs événements, tactiques et techniques.

Matrice ATT&CK de Mamona dans ANY.RUN

Voyons comment le comportement de Mamona s’intègre dans ce cadre :

  • Découverte – T1012 : Interrogation du Registre + T1082 : Découverte d’informations système. La routine de reconnaissance où le malware interroge différents registres locaux comme le nom de l’hôte et la langue.
  • Exécution – T1059.003 : Interpréteur de commandes et de scripts. Mamona lance CMD pour invoquer ping comme mécanisme de temporisation rudimentaire, puis passe à sa routine d’auto-suppression.
  • Évasion de défense – T1070.004 : Suppression d’indicateurs. La routine d’auto-suppression liée à la commande ping précédente.
  • Impact – T1486 : Données chiffrées pour impact. Le processus de chiffrement où tous les fichiers se voient attribuer l’extension « .HAes ».

Cela résume le comportement de Mamona, qui dévie du schéma habituel observé dans les ransomwares de type « commodity ». Il ne montre aucune activité réseau, aucun canal de Command and Control via Telegram, Discord ou plateformes similaires. Il repose plutôt sur une routine faible de génération de clé exécutée localement et n’inclut aucune forme de double extorsion, rendant ses menaces de vol et publication de données purement coercitives.

Ce qu’il possède, c’est un déchiffreur au style rétro qui, malgré son interface maladroite et obsolète, fonctionne simplement.

Impact de la menace Mamona

La campagne Mamona présente des risques significatifs malgré son design minimaliste et hors ligne :

  • Pour les utilisateurs finaux : Les victimes font face à un chiffrement immédiat des fichiers, à des perturbations du système et à une pression psychologique par de fausses affirmations de vol de données. Le ton menaçant de la note de rançon crée un sentiment d’urgence, même s’il n’y a aucune exfiltration réelle.
  • Pour les organisations : Mamona peut interrompre les flux de travail, chiffrer les lecteurs partagés et compliquer la réponse aux incidents, surtout dans les environnements sans sauvegardes hors ligne ou sans surveillance en temps réel. Sa simplicité le rend aussi plus difficile à détecter via les défenses réseau classiques.
  • Pour les équipes de sécurité : L’absence de trafic C2 et l’usage d’une logique exécutée localement réduisent la visibilité dans les systèmes de détection traditionnels. L’utilisation de commandes basiques comme ping et cmd.exe imite une activité légitime, nécessitant une analyse comportementale approfondie pour une détection précise.
  • Pour le paysage global des menaces : Mamona illustre la montée des ransomwares faciles à utiliser, basés sur des builders, qui privilégient la simplicité à la sophistication. Son builder leaké abaisse la barrière d’entrée pour les attaquants, ce qui suscite des inquiétudes quant à une adoption plus large par des acteurs malveillants peu expérimentés.

Conclusion

L’analyse du ransomware Mamona montre comment même une menace silencieuse et hors ligne peut causer des perturbations.

Cette souche souligne une tendance montante : les ransomwares qui troquent la complexité pour l’accessibilité. Facile à déployer, plus difficile à détecter avec les outils traditionnels, mais suffisamment efficace pour chiffrer des systèmes et faire pression sur les victimes pour obtenir une rançon. Son builder leaké et sa faible barrière à l’entrée augmentent seulement le risque d’abus généralisé par des attaquants moins sophistiqués.

En analysant Mamona en temps réel grâce au bac à sable interactif ANY.RUN, nous avons pu capturer toute la chaîne d’attaque, de l’exécution initiale aux modifications système, en passant par le déploiement de la note de rançon et la logique de chiffrement, sans nécessiter de traces réseau externes.

Voici comment ce type d’analyse dynamique aide les défenseurs à garder une longueur d’avance :

  • Détecter les menaces plus rapidement : Identifier les comportements inhabituels, même dans les attaques hors ligne.
  • Voir tout en mouvement : Surveiller l’activité locale, les opérations sur les fichiers, et les techniques de persistance en temps réel.
  • Accélérer les enquêtes : Collecter et interpréter les indicateurs de compromission (IOC) sans passer d’un outil à un autre.
  • Réagir plus efficacement : Partager les artefacts et les tactiques entre équipes de sécurité.

Découvrez la visibilité en temps réel avec ANY.RUN et détectez les menaces que d’autres pourraient manquer.

Essayez dès aujourd’hui le bac à sable interactif ANY.RUN.

(Article sponsorisé)

IOCs

SHA256:b6c969551f35c5de1ebc234fd688d7aa11eac01008013914dbc53f3e811c7c77

SHA256:c5f49c0f566a114b529138f8bd222865c9fa9fa95f96ec1ded50700764a1d4e7

Ext:.HAes

File:README.HAes.txt

Références

https://bazaar.abuse.ch/sample/c5f49c0f566a114b529138f8bd222865c9fa9fa95f96ec1ded50700764a1d4e7

https://bazaar.abuse.ch/sample/b6c969551f35c5de1ebc234fd688d7aa11eac01008013914dbc53f3e811c7c77

https://twitter.com/Merlax_/status/1902480932319457481

https://app.any.run/tasks/cdcc75cd-d1f0-4fae-8924-d1aa44525e7e

https://twitter.com/ido_cohen2/status/1902397910790369626

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Réseaux sociaux

30900
abonnés
Instagram
178000
abonnés
YouTube

Articles Populaires

 

cyberiniFORMEZ-VOUS, apprenez en ligne à VIE et faites carrière dans la cybersécurité.
Accéder à Cyberini
Menu