Sophos découvre le nouveau ransomware Memento : il verrouille les fichiers dans une archive protégée par mot de passe s'il ne peut pas chiffrer les données. L'analyse médico-légale des SophosLabs fournit des informations détaillées sur la nouvelle approche.
Sophos a publié les détails d'un nouveau ransomware d'un groupe appelé Memento. L'étude The New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection décrit l'attaque qui verrouille les fichiers dans une archive protégée par mot de passe lorsque le ransomware Memento ne parvient pas à chiffrer les données cibles.
Memento a des options d'attaque alternatives
"Les attaques de ransomwares d'origine humaine sont rarement claires et linéaires", a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos. "Les attaquants sautent spontanément sur les opportunités lorsqu'ils les trouvent, ou font parfois des erreurs. Ils changent alors de tactique à la volée, car s'ils parviennent à pénétrer dans le réseau d'une cible, ils ne veulent pas rester les mains vides.
L'attaque Memento en est un bon exemple et nous rappelle qu'il est important d'assurer la sécurité à tous les niveaux. Parce que dans ce cas, les attaquants ont trouvé un autre moyen d'atteindre leur objectif après que le cryptage des données a été empêché par un programme de sécurité. La capacité de détecter et d'arrêter les rançongiciels et les tentatives de chiffrement est essentielle, mais il est également important de disposer de technologies de sécurité capables d'alerter les autres en cas d'activité, telle qu'un mouvement et une activité inattendus sur le réseau.
Les SophosLabs enregistrent un journal à long terme de l'attaque Memento
- Mi-avril 2021 - C'est parti. intrusion dans le réseau
- 20 octobre 2021 – WinRAR est déployé
- 23 octobre 2021 – Déploiement du ransomware et plan B
Les cybercriminels ont maintenant exigé une rançon d'un million de dollars en Bitcoin afin de restaurer les fichiers. Heureusement, l'entreprise attaquée a pu récupérer les données sans l'intervention des cybercriminels.
- 18 mai, 8 septembre, 3 octobre - Nouveaux envahisseurs et cryptomineurs
"Nous l'avons vu à plusieurs reprises auparavant : si les failles de sécurité sur Internet sont connues et non corrigées, les attaquants les exploitent rapidement et, soudainement, différents groupes de pirates s'ébattent sur le même réseau. Plus les vulnérabilités ne seront pas corrigées longtemps, plus les attaquants en prendront conscience », a déclaré Gallagher.
Important pour la sécurité informatique - quelques conseils
Cet incident, au cours duquel plusieurs attaquants ont exploité un seul serveur non corrigé exposé à Internet, démontre une fois de plus l'importance d'installer rapidement des correctifs et de vérifier auprès de fournisseurs tiers, de développeurs sous contrat ou de fournisseurs de services la sécurité de leurs logiciels. Pour plus d'informations, consultez le rapport sur le rançongiciel Memento dans les SophosLabs Uncut.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.