Si chiama Memento il nuovo ransomware che rinchiude i file all’interno di un archivio protetto da password quando non riesce a crittografare i dati che intende colpire perché bloccato dalle soluzioni di sicurezza.
Il ransomware, scritto in linguaggio Python 3.9, è stato scoperto dai ricercatori Sophos: “Gli attacchi ransomware effettuati con intervento umano sono raramente chiari e definiti nel mondo reale”, ha dichiarato Sean Gallagher, senior threat researcher di Sophos. “I cyber criminali sfruttano le opportunità quando si presentano e procedono modificando tempestivamente le proprie tattiche e procedure di attacco. Se riescono a penetrare nella rete di una loro vittima, di certo non sono disposti a uscirne a mani vuote. L’attacco Memento costituisce un buon esempio di ciò, e serve a ricordarci di adottare soluzioni di sicurezza che attivino difese in profondità. Essere in grado di rilevare la presenza di ransomware e i tentativi di cifratura è essenziale, ma è altrettanto importante disporre di tecnologie di sicurezza capaci di allertare i responsabili IT in caso di altre attività inaspettate come il movimento laterale”.
Indice degli argomenti
Ransomware Memento, l’attacco parte da lontano
I ricercatori Sophos sarebbero convinti che i responsabili di Memento siano riusciti a entrare nella rete obiettivo dell’attacco a metà del mese di aprile 2021 e avviato l’intrusione principale nel mese di maggio.
Per far questo avrebbero sfruttato una vulnerabilità di VMware vSphere CVE-2021-21972, un tool per la virtualizzazione del cloud computing rivolto a Internet, che ha permesso loro di penetrare all’interno di un server (secondo l’avviso VMware, il client vSphere (HTML5) contiene una vulnerabilità legata all’esecuzione di codice in modalità remota in un plug-in vCenter Server.
Un malintenzionato con accesso di rete alla porta 443 potrebbe così sfruttare questo bug per eseguire comandi con privilegi illimitati sul sistema operativo sottostante che ospita vCenter Server).
Dopo aver usato i primi mesi a scopo di ricognizione e movimento laterale sfruttando il Remote Desktop Protocol (RDP), lo scanner di rete NMAP, l’Advanced Port Scanner e il tool di tunneling Secure Shell (SSH) Plink per creare una connessione interattiva con il server violato, gli attaccanti si sarebbero avvalsi anche di mimikatz (tool gratuito e open source per Microsoft Windows) per raccogliere le credenziali degli account da utilizzare nelle fasi successive, passando effettivamente all’attacco il 20 ottobre 2021 impiegando il tool legittimo WinRAR per effettuare la compressione di una serie di file esfiltrandoli via RDP.
L’installazione del ransomware Memento
Secondo la ricostruzione, i cyber criminali hanno provato inizialmente a crittografare i file, ma essendo stati bloccati dalle misure di sicurezza in atto hanno successivamente cambiato tattica, modificando e reinstallando il ransomware.
Hanno quindi copiato i file non cifrati in archivi protetti da password avvalendosi di una versione gratuita di WinRAR, prima di crittografarne la password e cancellare i file originali.
Solo in seguito, manifestandosi all’azienda target, hanno richiesto il versamento di un riscatto da un milione di dollari in Bitcoin (15,95 BTC) per ripristinare i file, minacciando anche l’esposizione dei dati in caso di mancato pagamento.
Sfruttamento della medesima vulnerabilità
Sebbene VMware abbia risolto il problema a febbraio 2021, la ricerca Sophos ha rimarcato il fatto che il medesimo server sia finito nel mirino di altri gruppi criminali come Memento che di fatto hanno concentrato le loro operazioni sfruttando exploit simili attraverso la medesima vulnerabilità.
“Lo vediamo continuamente: quando le vulnerabilità accessibili da Internet diventano pubbliche e non vengono neutralizzate con le apposite patch, numerosi attaccanti corrono ad approfittarne. Più a lungo si aspetta per mitigarle, più attaccanti ne saranno attirati”, ha commentato Gallagher.
“I cybercriminali eseguono costantemente la scansione di Internet alla ricerca di punti di ingresso vulnerabili, e di certo non si mettono in fila ad aspettare quando ne trovano una. Essere violati da più attaccanti non fa che moltiplicare i danni e i tempi di ripristino per le vittime, e rende anche più complicato per gli investigatori riuscire a far chiarezza e capire chi abbia fatto cosa, informazioni importanti per chi deve affrontare le minacce per aiutare le aziende a evitare ulteriori attacchi dello stesso genere”.
I consigli per la sicurezza
Fortunatamente l’azienda colpita è stata in grado di recuperare i dati senza doversi rivolgere agli attaccanti, ma questo incidente deve far riflettere su quanto sia importante applicare velocemente le patch e verificare la sicurezza dei propri software e di eventuali servizi di terze parti.
Poiché gli attacchi ransomware comportano sempre più spesso la multi estorsione, i backup rimangono necessari ma non possono da soli essere sufficienti. È importante, pertanto, intercettare la minaccia precocemente attraverso una protezione stratificata che blocchi e rilevi su più punti possibili la catena d’infezione, combinando tecnologia e attività specifiche di controllo.
Mantenendo sempre alta l’attenzione e monitorando il proprio ambiente di rete soprattutto fuori dagli orari di lavoro, nei week-end o durante le festività (investendo anche in risorse umane), per un’azienda devono restare sempre valide le seguenti buone pratiche da seguire a livello tattico per un’adeguata sicurezza informatica:
- usare l’autenticazione multifattore (MFA);
- effettuare scansioni della rete dall’esterno per identificare e chiudere le porte comunemente utilizzate da VNC, RDP o altri tool per l’accesso remoto;
- separare i server critici dalle workstation mediante la segmentazione della rete e secondo modelli di rete zero trust;
- mantenere i backup aggiornati, assicurandone il recupero e conservandone delle copie offline;
- accertare per la sicurezza che tutti i prodotti siano configurati correttamente e inventariare asset e account;
- eseguire audit regolari su tutti gli account presenti in Active Directory;
- mantenere sempre aggiornati i sistemi operativi e i software con patch e update correttamente applicati;
- valutare l’implementazione sugli apparati di sicurezza degli indicatori di compromissione (IoC) disponibili su GitHub.
