Sophos ha scoperto Memento un nuovo ransomware scritto in linguaggio Python.0 e ha pubblicato i dettagli relativi al funzionamento.
Nella nuova ricerca “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection”, vengono descritte le caratteristiche di questo attacco che rinchiude i file all’interno di un archivio protetto da password per eludere la crittografia.
Cronologia dell’attacco
I ricercatori Sophos sono convinti che i responsabili di Memento siano riusciti a entrare nella rete obiettivo dell’attacco a metà aprile 2021. Per far questo hanno sfruttato una vulnerabilità di VMware vSphere, un tool per la virtualizzazione del cloud computing rivolto a Internet, che ha permesso loro di penetrare all’interno di un server. Le prove forensi trovate dai ricercatori Sophos indicano che gli hacker hanno avviato l’attacco agli inizi di maggio 2021.
Gli autori dell’attacco hanno usato i primi mesi a scopo di ricognizione e sfruttando Remote Desktop Protocol (RDP), lo scanner di rete NMAP, Advanced Port Scanner e il tool di tunneling Secure Shell (SSH) Plink per creare una connessione interattiva con il server violato. Gli hacker si sono avvalsi anche di mimikatz per raccogliere le credenziali degli account da utilizzare nelle fasi successive dell’attacco.
Secondo i ricercatori Sophos, il 20 ottobre 2021 gli autori di questo attacco hanno usato un programma come WinRAR per effettuare la compressione di una serie di file esfiltrandoli via RDP.
L’installazione del ransomware
Il deployment del ransomware è avvenuto il 23 ottobre 2021. I ricercatori Sophos hanno scoperto che chi attaccava ha provato inizialmente a crittografare i file, ma le misure di sicurezza in atto hanno impedito tale tentativo. I cybercriminali hanno quindi cambiato tattica, modificando e reinstallando il ransomware. Hanno copiato i file non cifrati in archivi protetti da password avvalendosi di una versione gratuita di WinRAR, prima di crittografarne la password e cancellare i file originali.
In seguito, hanno richiesto il versamento di un riscatto da 1 milione di dollari in Bitcoin per ripristinare i file. L’azienda colpita è stata fortunatamente in grado di recuperare i dati senza doversi rivolgere ai cybercriminali.
Punti d’ingresso aperti hanno lasciato entrare ulteriori attaccanti
Mentre gli autori di Memento si trovavano all’interno della rete colpita, altri cybercriminali sono entrati attraverso la medesima vulnerabilità sfruttando exploit simili. Ciascuno di essi ha installato sullo stesso server violato software per il mining di cryptovalute..