Mamona ransomware: come funziona e perché è così difficile da rilevare

Negli ultimi cinque anni, il fenomeno dei ransomware ha registrato una crescita esponenziale, diventando uno dei metodi più redditizi per i cybercriminali. Attraverso la cifratura dei dati e la richiesta di riscatto, i gruppi criminali riescono a ottenere grandi guadagni, spesso reinvestiti in ulteriori attività illecite.

Tra le minacce emerse in tempi recenti, figura Mamona, un ransomware che ha attirato l’attenzione degli esperti di cybersecurity per via della sua struttura semplice e la capacità di operare completamente offline. Queste caratteristiche lo hanno reso molto popolare tra i cybercriminali, i quali lo hanno utilizzato per infettare numerosi dispositivi Windows.

Origini e caratteristiche di Mamona
Dinamica dell’infezione
Prevenzione e difesa

In questo articolo analizzeremo in dettaglio il funzionamento di Mamona, il rischio che rappresenta per utenti e aziende, e le principali misure di prevenzione da adottare per difendersi in modo efficace.

Origini e caratteristiche di Mamona ransomware

Le prime tracce di Mamona sono state osservate durante alcuni attacchi condotti dalla cybergang BlackLock. Nel marzo 2025, il builder del malware è stato diffuso online, consentendo anche a cybercriminali meno esperti di generare varianti autonome del ransomware e lanciarle in campagne indipendenti. In parallelo, il gruppo DragonForce è riuscito ad accedere ad alcune componenti dell’infrastruttura legata a Mamona, arrivando a pubblicare file sensibili connessi al malware.

Da quel momento, Mamona è stato impiegato in diverse campagne su larga scala, veicolato attraverso:

Email di phishing;
Scansione di sistemi con vulnerabilità note;
Tentativi di accesso tramite credenziali deboli o prive di autenticazione a due fattori;
Siti ingannevoli che inducono al download di software malevolo.

A differenza dei ransomware tradizionali, Mamona adotta tecniche non convenzionali. Tra queste c’è l’uso del comando ping come “timer” per introdurre brevi ritardi e un’operatività totalmente offline. Quest’ultima è ciò che complica le attività di rilevamento e risposta dei sistemi di sicurezza. Infatti, non esistono comunicazioni verso l’esterno, nessun server C2, nessuna esfiltrazione di dati e nessun collegamento di rete. La chiave di cifratura viene generata localmente, sebbene siano stati osservati casi in cui è già integrata nell’eseguibile.

Le analisi condotte dai ricercatori di IBM X-Force, hanno inoltre evidenziato che Mamona non utilizza librerie crittografiche standard, come le Crypto API di Windows o moduli esterni come OpenSSL. Tutta la logica di cifratura è sviluppata internamente, con operazioni aritmetiche e manipolazioni dirette della memoria, rendendo l’algoritmo particolarmente difficile da decifrare o analizzare.

Dinamica dell’infezione

All’avvio, Mamona esegue un ping verso l’indirizzo IP locale 127.0.0.7 per introdurre un breve ritardo e mettere in coda l’eliminazione del proprio eseguibile, tramite cmd. La scelta di 127.0.0.7 al posto del più comune 127.0.0.1, pur restando interna al dispositivo, potrebbe eludere alcuni sistemi di difesa basati su pattern statici. Nel mentre, il ransomware analizza le directory bersaglio, cifra i file con la propria routine interna e appende l’estensione .HAes.

Per massimizzare la visibilità, distribuisce la nota di riscatto in più directory e modifica lo sfondo del desktop con un messaggio dedicato. La nota contiene link a un data leak site (DLS) e a una chat di supporto accessibile tramite domini Tor. Nonostante le minacce di pubblicazione, i file non vengono esfiltrati, in quanto è solo un bluff possibile dall’assenza di connessioni verso l’esterno.

Al termine delle operazioni, la procedura di cancellazione messa in attesa all’inizio viene attivata e Mamona si cancella dal disco. Questa tecnica, semplice ma efficace, complica le analisi post-incidente e ostacola la raccolta di evidenze forensi.

Prevenzione e difesa

Sebbene Mamona utilizzi un sistema di crittografia personalizzato, l’assenza di comunicazioni con server esterni ha permesso agli analisti di sviluppare strumenti in grado di invertire parzialmente il processo e, in alcuni casi, recuperare i file cifrati. Tuttavia, non sempre è possibile ripristinare i dati in modo completo o affidabile. Per questo motivo, la prevenzione resta l’unica soluzione realmente efficace contro ransomware come Mamona. I consigli principali per difendersi includono:

Utilizzare strumenti di analisi aggiornati e all’avanguardia.
Questo permette di individuare anche i malware più insidiosi presenti nel dispositivo compromesso.
Non aprire file provenienti da fonti sconosciute.
Uno dei principali vettori di infezione da ransomware, infatti, sono proprio file apparentemente legittimi inviati tramite messaggi di phishing o scaricati da siti web malevoli.
Eseguire regolarmente operazioni di backup.
Questo permette di recuperare tempestivamente i propri dati in caso di infezione da ransomware, riducendo in maniera significativa l’impatto dell’attacco.
Aggiornare costantemente i propri programmi e dispositivi.
Gli aggiornamenti servono a installare patch di sicurezza che correggono vulnerabilità note, sfruttabili per distribuire ransomware all’interno dei sistemi.
Acquisire una cultura di base sulle minacce ransomware.
Conoscere i ransomware e le loro modalità di diffusione aiuta gli utenti a riconoscere più facilmente un tentativo di infezione.

Considerazioni finali

La crescente popolarità di Mamona dimostra come anche ransomware costruiti con builder semplici possano rappresentare una minaccia concreta. Il pericolo non risiede tanto nella sofisticazione tecnica, quanto nell’accessibilità. La pubblicazione del builder sul web aperto ha moltiplicato le mani in grado di utilizzarlo, generando un’ondata di varianti e campagne anche da parte di attori con competenze limitate.

Le vittime si trovano a fronteggiare l’immediata cifratura dei propri file, un degrado delle prestazioni del sistema e pressioni psicologiche innescate da messaggi intimidatori che simulano un’esfiltrazione di dati mai avvenuta. La nota di riscatto utilizza toni minacciosi e falsi riferimenti a data leak site per spingere al pagamento.

In ambito aziendale, Mamona può interrompere operazioni critiche, cifrando cartelle condivise e bloccando l’accesso a risorse fondamentali. Questo impatta gravemente sulle attività quotidiane, soprattutto in ambienti privi di backup offline o di soluzioni di monitoraggio attivo. La semplicità del suo codice, unita all’assenza di comunicazioni esterne, ne complica il rilevamento tramite strumenti tradizionali basati su rete, rendendo necessarie analisi approfondite lato endpoint.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.