I ricercatori di Sophos hanno individuato un nuovo ransomware Python chiamato Memento che blocca i file in un archivio protetto da password se il ransomware non è in grado di crittografare i dati mirati.
Secondo i ricercatori, gli operatori di Memento hanno violato la rete dell’obiettivo a metà aprile 2021 sfruttando un difetto in vSphere di VMware, uno strumento di virtualizzazione del cloud computing rivolto a Internet, per ottenere un punto d’appoggio su un server. Le prove forensi trovate da Sophos indicano che gli aggressori hanno iniziato l’intrusione principale all’inizio di maggio 2021.
Gli aggressori hanno utilizzato i primi mesi per il movimento laterale e la ricognizione, utilizzando il Remote Desktop Protocol (RDP), lo scanner di rete NMAP, Advanced Port Scanner e lo strumento di tunneling Plink Secure Shell (SSH) per impostare una connessione interattiva con il server violato. Gli aggressori hanno anche utilizzato mimikatz per raccogliere le credenziali dell’account da utilizzare nelle fasi successive dell’attacco.
Il 20 ottobre 2021, gli aggressori hanno poi utilizzato lo strumento legittimo WinRAR per comprimere una raccolta di file ed esfiltrarli tramite RDP e il 23 ottobre hanno distribuito per la prima volta il ransomware.
Inizialmente gli aggressori hanno tentato di crittografare direttamente i file, ma le misure di sicurezza hanno bloccato questo tentativo. Gli aggressori hanno quindi cambiato tattica, riorganizzato e ridistribuito il ransomware. Sono riusciti quindi a copiare i file non crittografati in archivi protetti da password utilizzando una versione gratuita rinominata di WinRaR, prima di crittografare la password ed eliminare i file originali.
Per ripristinare i dati gli aggressori hanno chiesto un riscatto di $ 1 milione in bitcoin, tuttavia, l’obiettivo è stato in grado di recuperare i dati senza il coinvolgimento degli aggressori.
https://www.sophos.com/en-us/company/press.aspx
