Sophos scopre il nuovo ransomware Memento: blocca i file in un archivio protetto da password se non riesce a crittografare i dati. L'analisi forense dei SophosLabs fornisce approfondimenti dettagliati sul nuovo approccio.
Sophos ha rilasciato i dettagli del nuovo ransomware di un gruppo chiamato Memento. Lo studio The New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection descrive l'attacco che blocca i file in un archivio protetto da password quando il ransomware Memento non riesce a crittografare i dati di destinazione.
Memento ha opzioni di attacco alternative
"Gli attacchi ransomware guidati dall'uomo sono raramente chiari e lineari", ha affermato Sean Gallagher, ricercatore senior sulle minacce di Sophos. “Gli aggressori colgono spontaneamente le opportunità quando le trovano, oa volte commettono errori. Quindi cambiano tattica al volo, perché se riescono a entrare nella rete di un bersaglio, non vogliono rimanere a mani vuote.
L'attacco Memento ne è un buon esempio e ci ricorda che è importante garantire la sicurezza a tutti i livelli. Perché in questo caso, gli aggressori hanno trovato un altro modo per raggiungere il loro obiettivo dopo che la crittografia dei dati è stata impedita da un programma di sicurezza. La capacità di rilevare e bloccare ransomware e tentativi di crittografia è fondamentale, ma è anche importante disporre di tecnologie di sicurezza in grado di avvisare gli altri di attività, come movimenti e attività imprevisti sulla rete".
I SophosLabs registrano un registro a lungo termine dell'attacco Memento
- Metà aprile 2021 - Ci siamo. intrusione nella rete
- 20 ottobre 2021: viene distribuito WinRAR
- 23 ottobre 2021: lancio del ransomware e piano B
I criminali informatici ora chiedevano un riscatto di un milione di dollari in Bitcoin per ripristinare i file. Fortunatamente, l'azienda attaccata è riuscita a recuperare i dati senza il coinvolgimento dei criminali informatici.
- 18 maggio, 8 settembre, 3 ottobre - Nuovi invasori e cryptominer
"L'abbiamo già visto molte volte: se le falle di sicurezza su Internet sono note e non sono state corrette, gli aggressori le sfruttano rapidamente e improvvisamente diversi gruppi di hacker si aggirano nella stessa rete. Più a lungo le vulnerabilità non vengono risolte, più gli aggressori ne verranno a conoscenza", ha affermato Gallagher.
Importante per la sicurezza IT: alcuni suggerimenti
Questo incidente, in cui più aggressori hanno sfruttato un singolo server senza patch esposto a Internet, dimostra ancora una volta l'importanza di installare rapidamente le patch e verificare con fornitori di terze parti, sviluppatori a contratto o fornitori di servizi sulla sicurezza del loro software. Per ulteriori informazioni, consultare il rapporto sul ransomware Memento nel SophosLabs Uncut.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.