Descoberto novo ransomware Memento

A Sophos publicou os detalhes de um novo ransomware Python, designado de Memento. A investigação descreve o ataque, que bloqueia ficheiros num arquivo protegido por password caso o ransomware Memento não seja capaz de encriptar os dados pretendidos.

“Os ataques de ransomware liderados por humanos no mundo real raramente são claros e lineares”, comentou, em comunicado, Sean Gallagher, Senior Threat Researcher da Sophos. “Os atacantes aproveitam as oportunidades quando as encontram, ou cometem erros e aí mudam a sua estratégia com rapidez. Se conseguirem aceder à rede de um alvo, não vão querer sair de mãos vazias. O ataque Memento é um bom exemplo disto, e um lembrete fundamental para a utilização de segurança de defesa em profundidade. Ser capaz de detetar ransomware e tentativas de encriptação é vital, mas também é importante possuir tecnologias de segurança que alertem os gestores de TI para outras atividades inesperadas, como os movimentos laterais”.

Os investigadores da Sophos acreditam que os agentes por detrás do Memento acederam à rede da vítima em meados de abril de 2021, tirando partido de uma falha no vSphere da VMWare para conseguirem posicionar-se no servidor. As provas forenses encontradas pelos investigadores da Sophos indicam que os atacantes iniciaram a intrusão principal no princípio de maio de 2021.

Tendo utilizado os primeiros meses para movimentos laterais e reconhecimento, recorreram ao Remote Desktop Protocol (RDP), a um scanner de rede NMAP, Advanced Port Scanner e à ferramenta Plink Secure Shell (SSH), para estabelecerem uma conexão interativa com o servidor violado. Os atacantes também utilizaram o mimikatz para recolher credenciais de contas, a utilizar em fases posteriores do ataque.

De acordo com os investigadores da Sophos, a 20 de outubro de 2021 os atacantes utilizaram o WinRAR para comprimir um conjunto de ficheiros e exfiltraram-nos através do RDP.

Os atacantes lançaram o ataque pela primeira vez a 23 de outubro de 2021. Os investigadores da Sophos descobriram que os atacantes tentaram, inicialmente, encriptar diretamente os ficheiros, mas tal foi bloqueado por medidas de segurança. Alteraram, então, as suas táticas, reequipando o ransomware, e voltaram a lançá-lo. Copiaram os ficheiros não encriptados para arquivos protegidos por password utilizando uma versão gratuita do WinRAR com um novo nome, antes de encriptarem a password e apagarem os ficheiros originais.

Os atacantes exigiram um resgate de um milhão de dólares em bitcoin para devolverem os ficheiros. A organização vítima foi capaz de recuperar os dados sem ser necessário envolver os atacantes.

Enquanto os atacantes do Memento estavam dentro da rede da vítima, outros dois atacantes conseguiram entrar nela através do mesmo ponto de acesso vulnerável, utilizando estratégias semelhantes. Cada um destes atacantes deixou cryptominers no mesmo serviço violado: um deles instalou um cryptominer XMR a 18 de maio, enquanto o segundo deixou um cryptominer CMRig a 8 de setembro e de novo a 3 de outubro.