Sophos scopre il nuovo ransomware Memento

Sophos scopre il nuovo ransomware Memento

Sophos ha scoperto il ransomware Memento che utilizza una tecnica differente dal solito per evitare di essere rilevato dalle soluzioni di sicurezza.
Sophos ha scoperto il ransomware Memento che utilizza una tecnica differente dal solito per evitare di essere rilevato dalle soluzioni di sicurezza.

I ricercatori di Sophos hanno scoperto a fine ottobre un nuovo tipo di ransomware, scritto in linguaggio Python, che utilizza una tecnica di attacco inusuale per evitare di essere intercettato dalle soluzioni di sicurezza. Memento, questo è il nome attribuito dalla software house inglese, sfrutta una vulnerabilità di VMware vCenter Server come punto di ingresso nelle reti aziendali.

Memento, un ransomware originale

Sophos offre diverse soluzioni consumer e business in grado di rilevare gli attacchi ransomware e quindi proteggere i dispositivi. Una di esse è Intercept X che, grazie alla funzionalità CryptoGuard, può bloccare i tentativi di cifrare i file. Extended Detection and Response (XDR) rileva invece specifiche attività sospette, come la creazione di archivi protetti da password.

Quest'ultima è proprio la tecnica usata da Memento. Invece di cifrare direttamente i file, il ransomware scoperto da Sophos copia i file all'interno di un archivio protetto da password, usando una versione gratuita della nota utility WinRAR. Successivamente cifra la password e cancella i file originali. Alla vittima dell'attacco viene quindi chiesto un riscatto di un milione di dollari. L'azienda colpita non ha pagato nulla, in quanto ha recuperato i file dai backup.

Gli autori dell'attacco hanno sfruttato una vulnerabilità di VMware vCenter Server che permetteva di accedere alla rete dalla porta TCP/IP 443. In seguito sono stati scaricati sul server due tool per eseguire comandi via WMI e recuperare le credenziali di login. Successivamente sono stati installati altri tool, tra cui Plink SSH, NMAP, NPCAP e Mimikatz.

A partire dal 20 ottobre, i cybercriminali hanno iniziato a comprimere i file con WinRAR, tentando di cifrarli (la protezione anti-ransomware ha rilevato questa attività). Qualche giorno dopo hanno modificato il codice del ransomware, in modo da cifrare la password generata per ogni archivio WinRAR. Come detto, l'azienda non ha pagato il riscatto, quindi gli autori dell'attacco sono rimasti a mani vuote.

Link copiato negli appunti

Ti potrebbe interessare

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.
18 11 2021
Link copiato negli appunti