A Shopos descobriu uma nova ameaça informática, o ransomware Memento, capaz de bloquear os ficheiros do utilizador em arquivos protegidos por uma password quando não consegue encriptar os dados e exige um milhão de dólares, em Bitcoin, para libertar a informação.
Segundo a investigação da Sophos, o Memento deve ter começado a ser testado em meados de abril de 2021 e começou a sua intrusão principal em maio do corrente ano.
Memento foi lançado, pela primeira vez, em outubro
A investigação da Sophos, “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection“, divulgou o novo ataque de ransomware, o Memento. Este ataque tenta encriptar os dados pretendidos e, quando não consegue, acaba por bloquear os ficheiros num arquivo protegido por password.
“Os atacantes aproveitam as oportunidades quando as encontram, ou cometem erros e aí mudam a sua estratégia com rapidez. Se conseguirem aceder à rede de um alvo, não vão querer sair de mãos vazias. O ataque Memento é um bom exemplo disto, e um lembrete fundamental para a utilização de segurança de defesa em profundidade. Ser capaz de detetar ransomware e tentativas de encriptação é vital, mas também é importante possuir tecnologias de segurança que alertem os gestores de TI para outras atividades inesperadas, como os movimentos laterais”.
Sean Gallagher, Senior Threat Researcher da Sophos
Os investigadores estão confiantes que os atacantes conseguiram aceder à rede da vítima em meados de abril de 2021, através de uma falha no vSphere da VMWare, uma ferramenta de virtualização de computação na Cloud voltada para a internet, para conseguirem posicionar-se no servidor.
A intrusão principal teve início apenas em maio de 2021 pelo que a investigação forense conseguiu apurar. Os primeiros meses terão sido utilizados pelos atacantes para realizarem alguns movimentos mais discretos de reconhecimento.
Antes de avançarem diretamente com o Memento, recorreram ao Remote Desktop Protocol (RDP), a um scanner de rede NMAP, Advanced Port Scanner e à ferramenta Plink Secure Shell (SSH), para estabelecerem uma conexão interativa com o servidor violado. Durante este tempo, os criminoso utilizaram ainda o mimikatz para recolherem algumas credenciais de contas pessoais.
Foi a 20 de outubro de 2021 que, segundo a Sophos, os atacantes utilizaram o WinRAR, uma ferramenta legítima e de confiança, para comprimir um conjunto de ficheiros e assim conseguirem extrair a informação de forma ilegal dos servidores atacados pelo Memento.
A primeira vez que o ataque foi lançado, oficialmente, foi a 23 de outubro, quando os atacantes decidiram tentar encriptar diretamente os ficheiros da vítima, mas as medidas de segurança implementadas conseguiram bloquear o ataque.
Com este bloqueio, os atacantes foram forçados a proceder a alterações no ransomware e voltaram então ao ataque. Desta vez conseguiram copiar ficheiros não encriptados para arquivos protegidos por password, recorrendo ao WinRAR, e depois de colocarem uma password nesses ficheiros apagaram os originais.
Com o ataque realizado, os utilizadores do Memento prosseguiram então com o pedido de resgate no valor de 1 milhão de dólares em bitcoin para devolverem o acesso à informação protegida. Segundo confirma a Sophos, a organização atacada conseguiu recuperar o acesso aos ficheiros sem terem de pagar qualquer tipo de resgate.
Durante o tempo em que os atacantes do Memento estavam dentro da rede da vítima, outros dois atacantes conseguiram entrar nela através do mesmo ponto de acesso que se encontrava vulnerável. Cada um destes atacantes deixou cryptominers no mesmo serviço violado: um deles instalou um cryptominer XMR a 18 de maio, enquanto o segundo deixou um cryptominer CMRig a 8 de setembro e de novo a 3 de outubro.
“Já assistimos a este fenómeno diversas vezes – quando as vulnerabilidades voltadas para a internet se tornam públicas e não são corrigidas, vários atacantes vão tirar partido delas com rapidez. Quanto mais tempo as vulnerabilidades ficarem por resolver, mais atacantes atrairão,” sublinha Gallagher.
Participe no passatempo:
