Le ransomware Memento verrouille les fichiers dans une archive protégée par mot de passe lorsqu’il ne parvient pas à chiffrer les données et exige 1 million de dollars en bitcoin
Sophos, un leader mondial de la cybersécurité de nouvelle génération, publie un rapport détaillé concernant un nouveau ransomware Python nommé Memento. L’étude New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection décrit l’attaque, qui verrouille les fichiers dans une archive protégée par mot de passe si le ransomware Memento ne parvient pas à chiffrer les données ciblées.
« Dans le monde réel, les attaques de ransomwares humaines sont rarement franches et linéaires », commente Sean Gallagher, chercheur senior en menaces chez Sophos. « Leurs auteurs saisissent les opportunités qu’ils trouvent ou commettent des erreurs, puis changent de tactique “à la volée”. S’ils réussissent à s’introduire dans un réseau cible, ils ne veulent pas repartir les mains vides. L’attaque Memento en est un bon exemple et vient nous rappeler la nécessité critique d’appliquer une défense en profondeur. S’il est vital de pouvoir détecter les ransomwares et les tentatives de chiffrement, il est tout aussi important de disposer de technologies de sécurité capables d’alerter les responsables informatiques sur d’autres activités anormales telles que des mouvements latéraux. »
Chronologie de l’attaque
Les chercheurs de Sophos estiment que les opérateurs de Memento se sont infiltrés dans le réseau cible à la mi-avril 2021. Les auteurs de l’attaque ont exploité une faille dans VMware vSphere, un outil de virtualisation cloud connecté à Internet, pour s’implanter sur un serveur. Les éléments recueillis par les chercheurs révèlent que les assaillants ont lancé la principale intrusion début mai 2021.
Les auteurs de l’attaque ont mis à profit les premiers mois pour effectuer des mouvements latéraux et des reconnaissances, au moyen du protocole RDP, d’un scanner réseau NMAP, de l’analyseur de réseau Advanced Port Scanner et de l’outil de création de tunnel SSH Plink Secure Shell, afin d’établir une connexion interactive avec le serveur attaqué. Ils ont également utilisé mimikatz dans le but de collecter des identifiants de comptes pouvant servir lors des phases ultérieures de l’attaque.
Selon les chercheurs de Sophos, le 20 octobre 2021, les attaquants ont employé l’outil légitime WinRAR afin de compresser un ensemble de fichiers et de les exfiltrer via RDP.
Lancement du ransomware
Le premier déploiement du ransomware date du 23 octobre 2021. Les chercheurs de Sophos ont découvert que les auteurs de l’attaque ont au départ tenté de chiffrer directement les fichiers mais qu’ils ont été mis en échec par des mesures de sécurité. Les assaillants ont alors changé leur fusil d’épaule et revu les outils du ransomware avant de le redéployer. Ils ont copié des fichiers non chiffrés dans des archives protégées par mot de passe à l’aide d’une version gratuite et rebaptisée de WinRaR, puis chiffré le mot de passe et supprimé les fichiers originaux.
Les auteurs de l’attaque ont exigé une rançon de 1 million de dollars en bitcoin en échange de la restauration des fichiers. Heureusement, la victime a pu récupérer ses données sans céder à leur chantage.
Des portes ouvertes pour une attaque de l’extérieur
Une fois les auteurs de l’attaque Memento infiltrés dans le réseau cible, deux assaillants différents ont franchi le même point d’accès vulnérable, en exploitant des failles similaires. Ceux-ci ont déposé des mineurs de cryptomonnaie sur le même serveur infecté. L’un d’entre eux a installé un cryptomineur XMR le 18 mai et l’autre un cryptomineur XMRig le 8 septembre puis à nouveau le 3 octobre.
« Nous avons observé ce scénario à plusieurs reprises : lorsque des vulnérabilités ouvertes sur Internet sont rendues publiques sans être corrigées, des attaques multiples ne vont pas tarder à les exploiter. Plus longtemps les failles ne sont pas colmatées, plus elles attirent les cybercriminels », souligne Sean Gallagher. « Les cybercriminels écument continuellement Internet à la recherche de points d’entrée vulnérables et ils ne perdent pas de temps lorsqu’ils en trouvent un. Des attaques parallèles démultiplient les dommages et allongent d’autant le délai de récupération pour les victimes. Elles rendent également plus difficiles les investigations pour savoir qui a fait quoi, une information essentielle pour les équipes de réponse aux menaces, qui aidera les entreprises à prévenir une récidive des attaques. »
Pour en savoir plus, lisez l’article consacré au ransomware Memento sur SophosLabs Uncut.