Memento, un nuovo ransomware che elimina i dati

memento,-un-nuovo-ransomware-che-elimina-i-dati

Memento, un nuovo ransomware che elimina i dati

Memento, un nuovo ransomware creato con Python 3.9, oltre a sottrarre dati utilizza un nuovo processo che li elimina dal server.

A differenza dei classici ransomware che hanno caratterizzato gli ultimi attacchi alla San Carlo o al Comune di Torino, i dati vengono prima criptati e in caso di difesa addirittura eliminati.

Questo rappresenta una risposta da parte dei cyber criminali alle nuove difese adottate dalle aziende che incrementano i protocolli di sicurezza.

La scoperta del ransomware Memento

Il nuovo malware è stato individuato dai ricercatori di Sophos, nota azienda di sicurezza informatica, i quali hanno datato l’attacco informatico ad aprile 2021.

In questo periodo il virus Memento si è infiltrato nei sistemi informatici sfruttando una vulnerabilità di Wmware vCenter Server ossia un tool che serve per la virtualizzazione del Cloud Computing rivolto a Internet.

Attraverso l’accesso alla porta TCP/IPP 433 gli aggressori sono penetrati nei server e hanno installato tools per creare backdoor o tunnel SSH per aggirare il sistema di restrizioni alla rete.

Una peculiarità è quella per cui gli hacker sono rimasti latenti per mesi limitandosi a installare software come mimikatz per raccogliere le chiavi di accesso.

L’attacco informatico, consistente nel criptaggio dei dati raccolti, è avvenuto in data 20 Ottobre ma il sistema di protezione ha impedito l’esfiltrazione dei dati.

Tuttavia, come ha dichiarato Sean Gallagher, Senior Threat Researcher per Sophos:

“I cyber criminali sfruttano le opportunità quando si presentano e procedono modificando tempestivamente le proprie tattiche e procedure di attacco. Se riescono a penetrare nella rete di una loro vittima, di certo non sono disposti a uscirne a mani vuote”

Lo dimostra questo caso in cui gli sviluppatori del ransomware hanno prontamente riscritto il codice del programma istruendolo per archiviare i dati con WinRar e a cancellarli dal server.

Una volta compiuto il furto è stata poi inviata la richiesta di riscatto di 1 milione di dollari in Bitcoin.

L’azienda non ha provveduto al pagamento avendo potuto recuperare le informazioni sottratte grazie al salvataggio sul backup.

La particolarità dell’attacco

In questi ultimi tempi abbiamo assistito al moltiplicarsi di attacchi ransomware a livello globale tanto che governi e aziende di tutto il mondo sono stati costretti a investire grandi somme per contenere la minaccia.

Se in passato gli attacchi erano causali e circoscritti adesso hanno l’obbiettivo di bloccare la produzione di beni o servizi delle aziende o degli enti che colpiscono.

Lo scopo è quello di creare un danno economico tale da non lasciare alternativa al pagamento del riscatto in cripto valuta.

Un fattore che ha spinto la proliferazioni di attacchi è soprattutto la nascita di gruppi di cyber criminali che sviluppano malware sempre più precisi offrendoli come servizi SaaS a organizzazioni incaricate di eseguire l’attacco.

Il malware Memento rientra in questa casistica perché non solo è la minaccia di un software ma anche di un team di sviluppatori che adattano il programma ai nuovi protocolli rilasciati dalle compagnie di cyber securety.

Questi gruppi inoltre fanno inoltre parte di un network tale per cui le vulnerabilità scoperte sono poi divulgate e diventano strumento di altri hacker.

Come difendersi dal ransomware Memento

Come abbiamo visto gli attacchi informatici non seguono protocolli standard ma possono evolversi sulla base delle contromisure sviluppate dalle aziende.

Sophos in seguito all’analisi di questo attacco suggerisce una serie di contromisure e best practice per minimizzare il rischio di aggressioni informatiche dividendoli come segue:

Misure strategiche:

  • Utilizzare una protezione a strati: avere più livelli di sicurezza senza limitarsi a un sistema di backup.
  • Combinare AI ed esperti informatici: non limitarsi a software ma impiegare esperti di cyber sicurezza interni o esterni all’azienda.

Misure tattiche:

  • Garantire controlli a tutte le ore: i cyber criminali spesso effettuano attacchi nei periodi di maggiore vulnerabilità come ad esempio durante i week end.
  • Usare password sicure: utilizzare password specifiche, non prevedibili, cambiandole periodicamente e senza riutilizzarle.
  • Usare molteplici livelli di autenticazione (MFA): uno dei capisaldi della Zero Trust Security che prevede l’utilizzo di molteplici tipologie di credenziali come password, pin o token personali.
  • Bloccare i servizi accessibili: Controllare i possibili accessi per il collegamento da remoto e assicurarsi che siano protetti da tool come la VPN.
  • Segmentare e utilizzare criteri zero trust: assicurare la protezione dei server critici attraverso una differenziazione della connessione VLAN.
  • Effettuare backup offline: per proteggere i dati è necessario un backup periodico dei dati su server scollegati dalla rete.
  • Accertarsi che i prodotti per la sicurezza siano aggiornati: è sempre importante assicurarsi che i propri dispositivi siano configurati e aggiornati.
  • Verificare Active Directory (AD): effettuare verifiche per assicurarsi che nessuno in azienda abbia accessi e privilegi superiori a quelli richiesti per il proprio ruolo.
  • Verificare la corretta applicazione delle patch: assicurarsi che le patch dei sistemi critici siano state scaricate e correttamente installate.

Marco Casapietra

Copywriter con la passione per il blog. Appassionato di informatica, crescita personale, fitness e successo imprenditoriale. I miei hobby: Arti Marziali e Qì Gōng.