Sophos scopre il nuovo ransomware Memento
Topic
Approfondimenti
Trending
tutti

Sophos scopre il nuovo ransomware Memento

Sophos ha scoperto il ransomware Memento che utilizza una tecnica differente dal solito per evitare di essere rilevato dalle soluzioni di sicurezza.
Sophos scopre il nuovo ransomware Memento
Sicurezza Antivirus Antivirus
Sophos ha scoperto il ransomware Memento che utilizza una tecnica differente dal solito per evitare di essere rilevato dalle soluzioni di sicurezza.

I ricercatori di Sophos hanno scoperto a fine ottobre un nuovo tipo di ransomware, scritto in linguaggio Python, che utilizza una tecnica di attacco inusuale per evitare di essere intercettato dalle soluzioni di sicurezza. Memento, questo è il nome attribuito dalla software house inglese, sfrutta una vulnerabilità di VMware vCenter Server come punto di ingresso nelle reti aziendali.

Memento, un ransomware originale

Sophos offre diverse soluzioni consumer e business in grado di rilevare gli attacchi ransomware e quindi proteggere i dispositivi. Una di esse è Intercept X che, grazie alla funzionalità CryptoGuard, può bloccare i tentativi di cifrare i file. Extended Detection and Response (XDR) rileva invece specifiche attività sospette, come la creazione di archivi protetti da password.

Quest’ultima è proprio la tecnica usata da Memento. Invece di cifrare direttamente i file, il ransomware scoperto da Sophos copia i file all’interno di un archivio protetto da password, usando una versione gratuita della nota utility WinRAR. Successivamente cifra la password e cancella i file originali. Alla vittima dell’attacco viene quindi chiesto un riscatto di un milione di dollari. L’azienda colpita non ha pagato nulla, in quanto ha recuperato i file dai backup.

Gli autori dell’attacco hanno sfruttato una vulnerabilità di VMware vCenter Server che permetteva di accedere alla rete dalla porta TCP/IP 443. In seguito sono stati scaricati sul server due tool per eseguire comandi via WMI e recuperare le credenziali di login. Successivamente sono stati installati altri tool, tra cui Plink SSH, NMAP, NPCAP e Mimikatz.

A partire dal 20 ottobre, i cybercriminali hanno iniziato a comprimere i file con WinRAR, tentando di cifrarli (la protezione anti-ransomware ha rilevato questa attività). Qualche giorno dopo hanno modificato il codice del ransomware, in modo da cifrare la password generata per ogni archivio WinRAR. Come detto, l’azienda non ha pagato il riscatto, quindi gli autori dell’attacco sono rimasti a mani vuote.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Pubblicato il 18 nov 2021

Link copiato negli appunti

Ti potrebbe interessare

Recensione Sophos Home Antivirus: Opinioni e Pro e Contro 2024

Recensione Sophos Home Antivirus: Opinioni e Pro e Contro 2024
Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)

Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)
Acquisti online sicuri: come pagare sul web in sicurezza

Acquisti online sicuri: come pagare sul web in sicurezza
Cyberspionaggio cinese tramite reti telefoniche

Cyberspionaggio cinese tramite reti telefoniche
Recensione Sophos Home Antivirus: Opinioni e Pro e Contro 2024

Recensione Sophos Home Antivirus: Opinioni e Pro e Contro 2024
Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)

Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)
Acquisti online sicuri: come pagare sul web in sicurezza

Acquisti online sicuri: come pagare sul web in sicurezza
Cyberspionaggio cinese tramite reti telefoniche

Cyberspionaggio cinese tramite reti telefoniche
Luca Colantuoni
Pubblicato il
18 nov 2021
Link copiato negli appunti