Mamona: il ransomware che si cancella da solo e minaccia anche le reti più tranquille
Mamona è un nuovo ransomware che colpisce in silenzio: cripta i file e poi si cancella da solo, eludendo antivirus e lasciando solo danni. In questo articolo scopri come funziona, perché è così pericoloso anche per le piccole aziende, e quali misure adottare per proteggere la rete aziendale: firewall, antivirus evoluti e backup offline.
Immagina questa scena: accendi il PC una mattina, apri una cartella di lavoro e ti accorgi che ogni file – dai documenti alle fatture – è illeggibile. Al loro posto, una strana estensione .HAes e un messaggio: “I tuoi file sono stati cifrati. Paga per riaverli.”
Nessun segnale d’allarme, nessun antivirus che ha suonato. E soprattutto, nessuna traccia del malware.
Perché Mamona, il nuovo ransomware in circolazione, si auto-elimina dopo aver colpito, lasciando solo danni.
Perché Mamona è una minaccia reale anche per le PMI
A differenza dei ransomware più “blasonati”, Mamona non ha bisogno di un’infrastruttura sofisticata. Nessun server di comando e controllo (C2), nessun contatto con l’esterno. Funziona completamente offline: entra, cifra, lascia un messaggio e… si autodistrugge.
Questo lo rende invisibile per la maggior parte degli antivirus tradizionali, che cercano comportamenti sospetti su Internet o firme conosciute.
È distribuito come builder pronto all’uso, facilmente scaricabile da chiunque, anche da cybercriminali alle prime armi.
In altre parole: chiunque può lanciare un attacco Mamona. E qualsiasi azienda, anche la più piccola, può finirne vittima.
Come entra Mamona nella rete aziendale?
Il ransomware può arrivare tramite:
- allegati email contraffatti (spesso in formato ZIP o EXE),
- chiavette USB infette,
- vulnerabilità non patchate nei sistemi Windows.
Una volta eseguito, esegue un comando “ping” verso un indirizzo loopback fittizio (127.0.0.7) per ritardare l’avvio – tecnica usata per eludere alcuni sistemi di difesa.
Poi critta tutti i file, crea un file di riscatto (README.HAes.txt) e si cancella con il comando Del /f /q.
Risultato? Nessuna possibilità di analisi. Nessuna prova. Solo danni.
Come proteggersi davvero da minacce come Mamona
Molte aziende credono di essere al sicuro solo perché hanno un antivirus. Purtroppo non basta!
Ecco le misure essenziali per proteggere la tua rete aziendale:
1. Firewall aziendale aggiornato
Blocca gli accessi non autorizzati, anche interni. Un buon firewall è il primo baluardo contro le intrusioni.
2. Antivirus con protezione comportamentale
Non solo scansioni periodiche: serve un sistema che analizzi il comportamento dei processi, capace di riconoscere anche minacce sconosciute.
3. Sistema di backup offline
Backup automatici, criptati e scollegati dalla rete sono l’unica ancora di salvezza in caso di cifratura.
Un backup ben fatto ti salva dal pagare un riscatto.
4. Monitoraggio continuo della rete
Con strumenti EDR, SIEM o soluzioni di controllo file (FIM) puoi rilevare movimenti anomali, creazioni di file sospetti o processi di cifratura in corso.
Cosa fare se vieni colpito
Isola subito il dispositivo infetto dalla rete.
Non pagare il riscatto: non è detto che tu riceva la chiave, e alimenti un mercato criminale.
Contatta un esperto di cybersecurity.
Verifica se esiste un decryptor (attualmente uno è disponibile per .HAes, ma non è garantito per tutte le varianti).
Ripristina da backup se disponibile.
La sicurezza è un investimento, non un optional
Attacchi come Mamona sono rapidi, silenziosi e devastanti.
Non servono hacker esperti o gruppi internazionali: basta una mail sbagliata o una chiavetta infetta per paralizzare la tua attività. Avere un sistema di protezione solido, con firewall ben configurati, antivirus intelligenti e backup regolari, non è più facoltativo: è una necessità vitale per qualsiasi azienda.
Se sei interessato ad un supporto tecnico informatico visualizza più informazioni su Pacchetti di Assistenza Informatica per Aziende a Roma e contattaci per avere un preventivo gratuito.