Home > Informatica > I ricercatori di Sophos hanno scoperto il nuovo ransomware Memento

I ricercatori di Sophos hanno scoperto il nuovo ransomware Memento

scritto da: Sound PR | segnala un abuso

Il ransomware Memento blocca i file all'interno di un archivio protetto da password per eludere la crittografia e chiede un riscatto di 1 milione di dollari in Bitcoin.


Sophos, leader globale nella sicurezza informatica di ultima generazione, ha pubblicato i dettagli relativi al funzionamento di Memento, un nuovo ransomware scritto in linguaggio Python.0

Nella nuova ricerca “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection”, vengono descritte le caratteristiche di questo attacco che rinchiude i file all'interno di un archivio protetto da password quando non riesce a crittografare i dati che intende colpire.

“Gli attacchi ransomware effettuati con intervento umano sono raramente chiari e definiti nel mondo reale”, ha dichiarato Sean Gallagher, senior threat researcher di Sophos. “I cybercriminali sfruttano le opportunità quando si presentano e procedendo modificando tempestivamente le proprie tattiche e procedure di attacco.Se riescono a penetrare nella rete di una loro vittima, di certo non sono disposti a uscirne a mani vuote. L'attacco Memento costituisce un buon esempio di ciò, e serve a ricordarci di adottare soluzioni di sicurezza che attivino difese in profondità. Essere in grado di rilevare la presenza di ransomware e i tentativi di cifratura è essenziale, ma è altrettanto importante disporre di tecnologie di sicurezza capaci di allertare i responsabili IT in caso di altre attività inaspettate come il movimento laterale”.

 

Cronologia dell'attacco

I ricercatori Sophos sono convinti che i responsabili di Memento siano riusciti a entrare nella rete obiettivo dell'attacco a metà aprile 2021. Per far questo hanno sfruttato una vulnerabilità di VMware vSphere, un tool per la virtualizzazione del cloud computing rivolto a Internet, che ha permesso loro di penetrare all'interno di un server. Le prove forensi trovate dai ricercatori Sophos indicano che gli attaccanti hanno avviato l'intrusione principale agli inizi di maggio 2021.

Gli autori dell’attacco hanno usato i primi mesi a scopo di ricognizione e movimento laterale sfruttando Remote Desktop Protocol (RDP), lo scanner di rete NMAP, Advanced Port Scanner e il tool di tunneling Secure Shell (SSH) Plink per creare una connessione interattiva con il server violato. Gli attaccanti si sono avvalsi anche di mimikatz per raccogliere le credenziali degli account da utilizzare nelle fasi successive dell'attacco.

Secondo i ricercatori Sophos, il 20 ottobre 2021 gli attaccanti hanno quindi usato un tool legittimo come WinRAR per effettuare la compressione di una serie di file esfiltrandoli quindi via RDP.

L'installazione del ransomware

Il deployment del ransomware è avvenuto il 23 ottobre 2021. I ricercatori Sophos hanno scoperto che chi attaccava ha provato inizialmente a crittografare i file, ma le misure di sicurezza in atto hanno impedito tale tentativo. I cybercriminali hanno quindi cambiato tattica, modificando e reinstallando il ransomware. Hanno copiato i file non cifrati in archivi protetti da password avvalendosi di una versione gratuita di WinRAR, prima di crittografarne la password e cancellare i file originali.

In seguito, hanno richiesto il versamento di un riscatto da 1 milione di dollari in Bitcoin per ripristinare i file. L'azienda colpita è stata fortunatamente in grado di recuperare i dati senza doversi rivolgere agli attaccanti.

Punti d'ingresso aperti hanno lasciato entrare ulteriori attaccanti

Mentre gli autori di Memento si trovavano all'interno della rete colpita, altri cybercriminali sono entrati attraverso la medesima vulnerabilità sfruttando exploit simili. Ciascuno di essi ha installato sullo stesso server violato software per il mining di cryptovalute.. Un attaccante ha installato un cryptominer XMR il 18 maggio, mentre un altro ha installato un cryptominer XMRig l'8 settembre e, di nuovo, il 3 ottobre.

“Lo vediamo continuamente: quando le vulnerabilità accessibili da Internet diventano pubbliche e non vengono neutralizzate con le apposite patch, numerosi attaccanti corrono ad approfittarne. Più a lungo si aspetta per mitigarle, più attaccanti ne saranno attirati”, ha commentato Gallagher. “I cybercriminali eseguono costantemente la scansione di Internet alla ricerca di punti di ingresso vulnerabili, e di certo non si mettono in fila ad aspettare quando ne trovano una. Essere violati da più attaccanti non fa che moltiplicare i danni e i tempi di ripristino per le vittime, e rende anche più complicato per gli investigatori riuscire a far chiarezza e capire chi abbia fatto cosa, informazioni importanti per chi deve affrontare le minacce per aiutare le aziende a evitare ulteriori attacchi dello stesso genere”.

Consigli per la sicurezza

Sophos ritiene che questo incidente, nel quale più cybercriminali hanno violato un medesimo server privo di patch collegato a Internet, sottolinei l'importanza di applicare velocemente le patch e verificare la sicurezza del software di integratori, sviluppatori a contratto e service provider con cui si lavora.

Sophos consiglia inoltre le seguenti best practice generali per aiutare a difendersi da ransomware e relativi cyberattacchi:

A livello strategico

  • Dispiegare una protezione a strati. Poiché gli attacchi ransomware iniziano sempre più spesso a comportare estorsioni, i backup rimangono necessari ma sono insufficienti. È più importante che mai tenere alla larga gli avversari o intercettarli rapidamente prima che possano provocare danni. Una protezione stratificata blocca e rileva gli attaccanti su più punti possibili all'interno di un ambiente
  • Combinare esperti in carne e ossa con tecnologia anti-ransomware. Il segreto per fermare il ransomware risiede in una difesa in profondità che combini tecnologia anti-ransomware dedicata con attività specifiche condotte da esperti. La tecnologia fornisce la scala e l'automazione di cui un'azienda ha bisogno, mentre gli esperti in carne e ossa sono più adatti per accorgersi delle tattiche, tecniche e procedure che segnalano la presenza di un attaccante all'interno dell'ambiente. Se un'azienda non possiede le competenze al proprio interno può richiedere l'assistenza di specialisti in cybersicurezza

A livello tattico quotidiano

  • Monitorare e rispondere agli allarmi. Assicurarsi che vi siano tool, processi e risorse (persone) disponibili per monitorare, investigare e rispondere alle minacce riscontrate nell'ambiente. Gli attaccanti sferrano spesso i loro attacchi fuori dagli orari di lavoro, nei week-end o durante le festività nel presupposto che non vi sia nessuno o quasi a controllare
  • Definire e imporre l'uso di password forti. Le password forti sono una delle prime linee di difesa. Le password dovrebbero essere complesse o create apposta, e non essere mai riutilizzate. Per far questo con più facilità si può ricorrere a un password manager in grado di memorizzare le credenziali del personale
  • Usare l'autenticazione multifattore (MFA). Anche le password forti possono essere violate. Qualsiasi forma di autenticazione multifattore è meglio che niente per proteggere l'accesso a risorse critiche come e-mail, tool per la gestione remota e asset di rete
  • Bloccare i servizi accessibili. Effettuare scansioni della rete dall'esterno per identificare e chiudere le porte comunemente utilizzate da VNC, RDP o altri tool per l'accesso remoto. Se una macchina deve essere raggiungibile attraverso un tool per la gestione remota, fare in modo che quel tool risieda dietro a una VPN o a una soluzione per l'accesso di rete zero-trust che si avvalga di tecniche MFA come parte della procedura di login
  • Ricorrere a segmentazione e zero-trust. Separare i server critici l'uno dall'altro e dalle workstation mettendoli all'interno di VLAN separate e andando in direzione di un modello di rete zero-trust
  • Effettuare backup offline di informazioni e applicazioni. Mantenere i backup aggiornati, assicurarsi che siano recuperabili e conservarne una copia offline
  • Inventariare asset ed account. La presenza nella rete di dispositivi sconosciuti, non protetti o privi di patch aumenta i rischi e crea una situazione nella quale le attività pericolose potrebbero passare inosservate. È essenziale disporre di un inventario aggiornato di tutto quel che è collegato. Usare scan di rete, tool IaaS e ispezioni fisiche per localizzare e catalogare i dispositivi, e installare software per la protezione degli endpoint su qualsiasi macchina priva di protezione
  • Accertarsi che i prodotti per la sicurezza siano configurati correttamente. Sono vulnerabili anche i sistemi e i dispositivi solo parzialmente protetti. È importante assicurarsi che le soluzioni per la sicurezza siano configurate in modo appropriato; così come è importante verificare e, dove necessario, convalidare e aggiornare regolarmente le policy di sicurezza. Le funzionalità di sicurezza di nuova implementazione non sempre vengono attivate automaticamente. Non disabilitare la protezione anti-manomissione né creare ampie esclusioni dai controlli, dato che questo non farà che semplificare il lavoro degli attaccanti
  • Verificare Active Directory (AD). Eseguire audit regolari su tutti gli account presenti in AD, accertandosi che nessuno di essi disponga di più accessi di quelli che gli sono effettivamente necessari. Disabilitare gli account dei dipendenti in uscita non appena lasciano l'azienda
  • Applicare patch a tutto quanto. Mantenere aggiornati Windows e il resto dei sistemi operativi e del software. Questo significa anche verificare che le patch siano state installate correttamente e che siano presenti sui sistemi critici come i domain controller o le macchine collegate a Internet

I prodotti Sophos per endpoint, come Intercept X, proteggono gli utenti rilevando le azioni e i comportamenti del ransomware e di altri attacchi. I tentativi di crittografare file sono bloccati dalla funzione CryptoGuard. Soluzioni EDR (Endpoint Detection and Response) integrate, come Sophos Extended Detection and Response (XDR), possono aiutare a intercettare attività pericolose, come quando gli attaccanti creano archivi protetti da password come quelli usati nell'attacco ransomware Memento.

 

Per maggiori informazioni è possibile leggere l'articolo dedicato al ransomware Memento ransomware su SophosLabs Uncut.

sophos | ransomware | memento |



Commenta l'articolo

 

Potrebbe anche interessarti

Sophos presenta la serie di switch di rete per rafforzare e semplificare la connettività all’Access Layer


Sophos Cloud Optix: nuove funzionalità avanzate per automatizzare e semplificare il rilevamento dei cyberattacchi e la risposta alle minacce che mettono a rischio AWS


Sophos Mobile 9.7: funzionalità BYOD migliorate e gestione semplificata della sicurezza dei device mobili


Sophos acquisisce Braintrace per potenziare il proprio ecosistema di sicurezza informatica adattiva con la tecnologia Network Detection and Response sviluppata dall’azienda di cybersecurity statunitense


Sicurezza informatica: cosa ci aspetta nel 2020?


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Pure Storage supporta l’innovazione dei clienti italiani per un reale vantaggio competitivo, e cresce grazie all'offerta di una customer experience di livello

Il nuovo country manager Paolo Fontana nominato per guidare la crescita e migliorare la strategia di Pure nell’offrire ai clienti una modern data experience Pure Storage (NYSE: PSTG), il pioniere IT specializzato nello storage-as-a-service per un mondo multi-cloud, continua a crescere offrendo ai clienti la possibilità di evolversi digitalmente e assicurarsi un vantaggio competitivo. Le organizzazioni, dalle grandi imprese alle PMI, hanno esigenze mutevoli e necessitano di facilità d’uso, flessibilità e affidabilità dell’infrastruttura IT per poter sb (continua)

Sophos presenta la serie di switch di rete per rafforzare e semplificare la connettività all’Access Layer

Sophos presenta la serie di switch di rete per rafforzare e semplificare la connettività all’Access Layer
Sophos Switch connette, alimenta e controlla l’accesso dei dispositivi alla LAN Sophos, leader globale nella sicurezza informatica di ultima generazione presenta oggi Sophos Switch Series, la nuova serie di switch di rete che va ad arricchire la gamma di soluzioni Sophos per l’accesso sicuro alla rete, affiancandosi a Sophos Firewall e Sophos Wireless.“Sophos Switch si integra perfettamente nell’ecosistema adattivo di cybersecurity di Sophos (ACE) al (continua)

« The future of finance » : il nuovo Report di Contentsquare analizza la Customer Experience digitale nel settore finanziario e condivide 5 consigli per definire una strategia di successo

Supportata da dodici esperti di innovazione del settore bancario, finanziario e assicurativo, Contentsquare ha analizzato l’impatto che la crescente esigenza di digitalizzazione sta avendo sul rapporto con i clienti, per delineare la gestione ottimale di questo aspetto nel corso degli anni a venire Dalla sottoscrizione di una nuova carta di credito, alla presentazione di una richiesta di mutuo, fino alla stipula di un’assicurazione sanitaria, la pandemia e la trasformazione digitale hanno dato un notevole impulso a nuove modalità di fruizione, accelerando la trasformazione dell’esperienza digitale degli utenti e portando i brand a ideare nuove strategie per i team di UX, marketing, analisi d (continua)

E-commerce & vendite natalizie: le 7 best practice per migliorare la user experience dei clienti

E-commerce & vendite natalizie:  le 7 best practice per migliorare la user experience dei clienti
Confermando il successo di Black Friday e Cyber Monday, Contentsquare condivide una serie di consigli per preparare i siti di e-commerce ad affrontare la sfida di Natale Il periodo delle festività natalizie porta con sé il consueto picco di acquisti online, un momento dell’anno che rappresenta per le aziende una straordinaria opportunità di business ma anche una sfida complessa che mette alla prova soprattutto le piattaforme di e-commerce. Basti pensare che in occasione del weekend del Black Friday e Cyber Monday appena trascorso, Contentsquare, leader nell (continua)

CLS iMation: nuova alleanza con VersaBox

CLS iMation: nuova alleanza con VersaBox
Grazie all’approccio distintivo di VersaBox basato sulla simulazione, CLS iMation espande ulteriormente il suo portfolio di soluzioni per rendere più “smart” la produttività incrementando la flessibilità e la sicurezza dei processi intralogistici CLS iMation, la business unit di CLS dedicata alle Intelligent Solutions for Logistics Automation, annuncia di avere siglato una nuova partnership con VersaBox, società di Smart Robotics che offre soluzioni efficienti e flessibili per la gestione dei processi di intralogistica. La nuova alleanza permetterà di allargare ulteriormente il portfolio di soluzioni di CLS iMation dedicate all’automa (continua)