Connect with us

Technologie

Memento ransomware gang rapide à réoutiller pour un résultat « optimal »

Published

on


Une nouvelle souche de ransomware appelée Memento montre la perspicacité technique croissante de nombreux acteurs malveillants, démontrant parfaitement leur capacité à changer de tactique à la volée si leurs plans initiaux sont perturbés.

Le ransomware codé en Python a été observé par les intervenants en cas d’incident de Sophos, qui se sont engagés avec une victime plus tôt cet automne. Les opérateurs de Memento ont eu accès au réseau cible dès le mois d’avril en exploitant une vulnérabilité non corrigée dans VMware vSphere.

Ils ont ensuite passé plusieurs mois à se trouver à terre, en utilisant le protocole RDP (Remote Desktop Protocol), le scanner réseau NMAP, l’Advanced Port Scanner et le tunneling SSH (Plink Secure Shell) pour se connecter au serveur compromis. Les références ont été récoltées avec Mimikatz.

Le 20 octobre 2021, Memento a utilisé l’outil WinRAR pour compresser et exfiltrer les données de la victime via RDP, avant de déployer le ransomware lui-même le 23 octobre. Jusqu’à présent, tout à fait normal.

Mais à ce stade, les cybercriminels ont rencontré un problème : leur tentative de chiffrer directement les fichiers de la victime a été bloquée par des outils de sécurité. En réponse, ils ont changé de tactique, réoutillé Memento et l’ont redéployé.

Cette fois, ils ont copié des fichiers non cryptés dans une archive protégée par mot de passe à l’aide d’une version gratuite rebaptisée de WinRAR, avant de chiffrer le mot de passe et de supprimer les fichiers d’origine. Ils ont ensuite exigé une rançon bitcoin de 1 m$, bien que la victime ait heureusement gardé le contrôle de leur sécurité et ait pu récupérer sans payer.

Sean Gallagher, chercheur senior sur les menaces chez Sophos, a déclaré que l’émergence de Memento démontre comment les attaques de ransomware dirigées par l’homme sont rarement claires et linéaires, mais peuvent rapidement évoluer pour tenir compte de circonstances spécifiques.

« Les attaquants saisissent les opportunités lorsqu’ils les trouvent ou font des erreurs, puis changent de tactique ‘à la volée’ », a-t-il déclaré. « S’ils peuvent entrer dans le réseau d’une cible, ils ne voudront pas repartir les mains vides. L’attaque Memento en est un bon exemple, et elle sert de rappel essentiel pour utiliser la sécurité de défense en profondeur.

« Il est essentiel de pouvoir détecter les ransomwares et les tentatives de chiffrement, mais il est également important de disposer de technologies de sécurité capables d’alerter les responsables informatiques d’autres activités inattendues, telles que les mouvements latéraux. »

L’incident contient également d’autres leçons pour les défenseurs – soulignant à nouveau l’utilité de l’état d’esprit de défense en profondeur et des correctifs opportuns – car en même temps que les opérateurs de Memento se mettaient au travail, deux autres attaquants ont compromis le serveur vSphere à plusieurs reprises.

Le premier attaquant a installé un cryptomineur XMR le 18 mai, et l’autre a installé un cryptomineur XMRig le 8 septembre, puis à nouveau le 3 octobre.

« Nous l’avons vu à plusieurs reprises – lorsque des vulnérabilités internet deviennent publiques et ne sont pas corrigées, plusieurs attaquants les exploitent rapidement », a déclaré Gallagher. « Plus les vulnérabilités ne sont pas atténuées longtemps, plus elles attirent d’attaquants.

« Les cybercriminels recherchent continuellement sur Internet des points d’entrée en ligne vulnérables, et ils ne font pas la queue lorsqu’ils en trouvent un. Le fait d’être violé par plusieurs attaquants aggrave le temps de perturbation et de récupération pour les victimes. Il est également plus difficile pour les enquêtes médico-légales de démêler et de résoudre qui a fait quoi, ce qui est important pour les intervenants en matière de menaces afin d’aider les organisations à prévenir d’autres attaques répétées.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance