Memento, un ransomware que bloquea los archivos protegidos con contraseña

  • Actualidad

En el ataque analizado, los atacantes explotaron un fallo en VMware vSphere para acceder a un servidor sin parchear y moverse lateralmente. Inicialmente intentaron cifrar directamente los archivos, pero posteriormente cambiaron de táctica, exigiendo un rescate de 1 millón de dólares.

Recomendados: 

Empresas data driven: estrategias de datos para marcar la diferencia Evento 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Sophos ha publicado detalles de un nuevo ransomware Python llamado Memento. La investigación describe el ataque, que bloquea los archivos protegidos con contraseña si el ransomware Memento no puede cifrar los datos objetivo.

"Los ataques de ransomware dirigidos por humanos en el mundo real rara vez son claros y lineales", señala Sean Gallagher, investigador principal de amenazas de Sophos. "Los atacantes aprovechan las oportunidades cuando las encuentran o cometen errores, y luego cambian de táctica 'sobre la marcha'. Si pueden llegar a la red de un objetivo, no querrán irse con las manos vacías. El ransomware Memento es un buen ejemplo de esto, y sirve como un recordatorio de la importancia de usar la ciberdefensa en profundidad. Ser capaz de detectar ransomware e intentar el cifrado es vital, pero también es importante contar con tecnologías de seguridad que puedan alertar a los gerentes de TI sobre otras actividades inesperadas, como el movimiento lateral".

Los investigadores de Sophos creen que los operadores de Memento atacaron la red del objetivo a mediados de abril de 2021. Los atacantes explotaron un fallo en VMware vSphere para tener acceso a un servidor. La evidencia forense indica que los atacantes comenzaron la intrusión principal a principios de mayo, y que emplearon los primeros meses para el movimiento lateral y el reconocimiento, utilizando el protocolo de escritorio remoto (RDP), el escáner de red NMAP, el escáner de puerto avanzado y la herramienta de túnel Plink Secure Shell (SSH) para configurar una conexión interactiva con el servidor atacado. Los atacantes también usaron mimikatz para recolectar credenciales de cuenta para usar en etapas posteriores del ataque.

Según los investigadores, el 20 de octubre de 2021, los atacantes utilizaron la herramienta legítima WinRAR para comprimir una colección de archivos y exfiltrarlos a través de RDP, implementando por primera vez el ransomware el 23 de octubre. LInicialmente intentaron cifrar directamente los archivos, pero las medidas de seguridad bloquearon este intento. Luego, los atacantes cambiaron de táctica y volvieron a implementar el ransomware, para lo que copiaron archivos no cifrados en archivos protegidos con contraseña utilizando una versión gratuita renombrada de WinRaR, antes de cifrar la contraseña y eliminar los archivos originales. Posteriormente exigieron un rescate de 1 millón de dólares en bitcoins para restaurar los archivos, pero el objetivo pudo recuperar los datos.

Mientras los atacantes de Memento estaban en la red del objetivo, dos atacantes diferentes irrumpieron a través del mismo punto de acceso vulnerable, utilizando exploits similares. Cada uno de estos atacantes dejó caer mineros de criptomonedas en el mismo servidor comprometido.

"Hemos visto esto repetidamente: cuando las vulnerabilidades orientadas a Internet se hacen públicas y no se parchean, múltiples atacantes las explotarán rápidamente. Cuanto más tiempo pasen las vulnerabilidades sin parchear, más atacantes atraerán", dijo Gallagher. "Los ciberdelincuentes están continuamente escaneando Internet en busca de puntos de entrada vulnerables, y no esperan cuando encuentran uno. Ser hackeado por múltiples atacantes agrava la interrupción y el tiempo de recuperación para las víctimas. También hace que sea más difícil para las investigaciones forenses desentrañar y resolver quién hizo qué, lo cual es una inteligencia importante para que los respondedores de amenazas recopilen para ayudar a las organizaciones a prevenir ataques repetidos adicionales".

TAGS