Atores de ransomware encontraram uma maneira astuta de contornar a proteção do endpoint

Views: 282
0 0
Read Time:2 Minute, 23 Second

Pesquisadores de cibersegurança descobriram um novo grupo de ransomware, que após não conseguir diretamente encriptar os arquivos de suas vítimas, copiou-os em um arquivo protegido por senha, antes de criptografar o senha e excluir os arquivos originais. 

Compartilhando percepções sobre o ator da ameaça, que se identifica como “Equipe Memento”, Sean Gallagher da Equipe de Resposta Rápida da Sophos MTR escreve que os operadores usam uma versão freeware renomeada da compressão de arquivo legítimo Utilitário WinRAR . 

“Esta foi uma reformulação pelos atores do ransomware, que inicialmente tentaram criptografar arquivos diretamente, mas foram interrompidos por proteção de endpoint. Depois de falhar na primeira tentativa, eles mudaram de tática e reimplantaram, ” notas Gallagher. 

Depois de criptografar os arquivos, a gangue exigiu US $ 1 milhão para restaurar os arquivos e, como é comum entre os operadores de ransomware, ameaçou expor os dados da vítima se eles se recusassem a pagar o resgate. 

Fora do caminho batido Os pesquisadores acreditam que os atores da ameaça invadiram a rede de suas vítimas explorando uma falha no VMware’s vCenter Server web client, em algum momento entre abril e maio. 

Eles então esperaram até outubro para implantar seu ransomware. Curiosamente, Sophos observa que enquanto a equipe do Memento estava pensando sobre seu próximo movimento, pelo menos dois invasores diferentes exploraram a mesma vulnerabilidade do vCenter para eliminar criptominadores no servidor comprometido.

Quanto ao ransomware da equipe Memento em si, Gallagher observa que ele foi escrito em Python 3.9 e compilado com PyInstaller. Embora não tenham sido capazes de descompilar completamente, os pesquisadores foram capazes de decodificar o suficiente do código para entender como funcionava. 

Além disso, os invasores também implantaram um código aberto baseado em Python keylogger em várias máquinas, à medida que se moviam lateralmente dentro da rede com a ajuda de Protocolo de Área de Trabalho Remota Protocolo (RDP). Sophos acrescenta que a nota de resgate dos atacantes se inspira na usada por REvil e pede às vítimas que entrem em contato através do mensageiro do Telegram.

Tudo isso deu em nada, pois a vítima se recusou a se envolver com os atores da ameaça e recuperou a maioria de seus dados graças a backups. correção seus servidores. “No momento do comprometimento inicial, a vulnerabilidade do vCenter era pública há quase dois meses e permaneceu explorável até o dia em que o servidor foi criptografado pelo ransomware invasores ”, observa Sophos, em seu esforço para enfatizar a importância de aplicar patches de segurança sem demora. Certifique-se de que seus sistemas permaneçam seguros e atualizados usando um destesmelhores ferramentas de gerenciamento de patch

Com quase duas décadas escrevendo e relatando no Linux, Mayank Sharma gostaria que todos pensassem que ele é TechRadar Pro’s especialista no assunto. Claro, ele está tão interessado em outros tópicos de computação, particularmente segurança cibernética, nuvem, contêineres e codificação.

FONTE: WEBFICAR

POSTS RELACIONADOS