Le ransomware Memento verrouille les fichiers dans une archive protégée par mot de passe lorsqu’il ne parvient pas à chiffrer les données et exige 1 million de dollars en bitcoin

PARIS — novembre 18, 2021 —

Sophos, un leader mondial de la cybersécurité de nouvelle génération, publie un rapport détaillé concernant un nouveau ransomware Python nommé Memento. L’étude New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection décrit l’attaque, qui verrouille les fichiers dans une archive protégée par mot de passe si le ransomware Memento ne parvient pas à chiffrer les données ciblées.

« Dans le monde réel, les attaques de ransomwares humaines sont rarement franches et linéaires », commente Sean Gallagher, chercheur senior en menaces chez Sophos. « Leurs auteurs saisissent les opportunités qu’ils trouvent ou commettent des erreurs, puis changent de tactique “à la volée”. S’ils réussissent à s’introduire dans un réseau cible, ils ne veulent pas repartir les mains vides. L’attaque Memento en est un bon exemple et vient nous rappeler la nécessité critique d’appliquer une défense en profondeur. S’il est vital de pouvoir détecter les ransomwares et les tentatives de chiffrement, il est tout aussi important de disposer de technologies de sécurité capables d’alerter les responsables informatiques sur d’autres activités anormales telles que des mouvements latéraux. »

Chronologie de l’attaque

Les chercheurs de Sophos estiment que les opérateurs de Memento se sont infiltrés dans le réseau cible à la mi-avril 2021. Les auteurs de l’attaque ont exploité une faille dans VMware vSphere, un outil de virtualisation cloud connecté à Internet, pour s’implanter sur un serveur. Les éléments recueillis par les chercheurs révèlent que les assaillants ont lancé la principale intrusion début mai 2021.

Les auteurs de l’attaque ont mis à profit les premiers mois pour effectuer des mouvements latéraux et des reconnaissances, au moyen du protocole RDP, d’un scanner réseau NMAP, de l’analyseur de réseau Advanced Port Scanner et de l’outil de création de tunnel SSH Plink Secure Shell, afin d’établir une connexion interactive avec le serveur attaqué. Ils ont également utilisé mimikatz dans le but de collecter des identifiants de comptes pouvant servir lors des phases ultérieures de l’attaque.

Selon les chercheurs de Sophos, le 20 octobre 2021, les attaquants ont employé l’outil légitime WinRAR afin de compresser un ensemble de fichiers et de les exfiltrer via RDP.

Lancement du ransomware

Le premier déploiement du ransomware date du 23 octobre 2021. Les chercheurs de Sophos ont découvert que les auteurs de l’attaque ont au départ tenté de chiffrer directement les fichiers mais qu’ils ont été mis en échec par des mesures de sécurité. Les assaillants ont alors changé leur fusil d’épaule et revu les outils du ransomware avant de le redéployer. Ils ont copié des fichiers non chiffrés dans des archives protégées par mot de passe à l’aide d’une version gratuite et rebaptisée de WinRaR, puis chiffré le mot de passe et supprimé les fichiers originaux.

Les auteurs de l’attaque ont exigé une rançon de 1 million de dollars en bitcoin en échange de la restauration des fichiers. Heureusement, la victime a pu récupérer ses données sans céder à leur chantage.

Des portes ouvertes pour une attaque de l’extérieur

Une fois les auteurs de l’attaque Memento infiltrés dans le réseau cible, deux assaillants différents ont franchi le même point d’accès vulnérable, en exploitant des failles similaires. Ceux-ci ont déposé des mineurs de cryptomonnaie sur le même serveur infecté. L’un d’entre eux a installé un cryptomineur XMR le 18 mai et l’autre un cryptomineur XMRig le 8 septembre puis à nouveau le 3 octobre.

« Nous avons observé ce scénario à plusieurs reprises : lorsque des vulnérabilités ouvertes sur Internet sont rendues publiques sans être corrigées, des attaques multiples ne vont pas tarder à les exploiter. Plus longtemps les failles ne sont pas colmatées, plus elles attirent les cybercriminels », souligne Sean Gallagher. « Les cybercriminels écument continuellement Internet à la recherche de points d’entrée vulnérables et ils ne perdent pas de temps lorsqu’ils en trouvent un. Des attaques parallèles démultiplient les dommages et allongent d’autant le délai de récupération pour les victimes. Elles rendent également plus difficiles les investigations pour savoir qui a fait quoi, une information essentielle pour les équipes de réponse aux menaces, qui aidera les entreprises à prévenir une récidive des attaques. »

Pour en savoir plus, lisez l’article consacré au ransomware Memento sur SophosLabs Uncut.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.