Le ransomware Memento verrouille les fichiers dans une archive protégée par mot de passe lorsqu’il ne parvient pas à chiffrer les données et exige 1 million de dollars en bitcoin

PARIS — novembre 18, 2021 —

Sophos, un leader mondial de la cybersécurité de nouvelle génération, publie un rapport détaillé concernant un nouveau ransomware Python nommé Memento. L’étude New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection décrit l’attaque, qui verrouille les fichiers dans une archive protégée par mot de passe si le ransomware Memento ne parvient pas à chiffrer les données ciblées.

« Dans le monde réel, les attaques de ransomwares humaines sont rarement franches et linéaires », commente Sean Gallagher, chercheur senior en menaces chez Sophos. « Leurs auteurs saisissent les opportunités qu’ils trouvent ou commettent des erreurs, puis changent de tactique “à la volée”. S’ils réussissent à s’introduire dans un réseau cible, ils ne veulent pas repartir les mains vides. L’attaque Memento en est un bon exemple et vient nous rappeler la nécessité critique d’appliquer une défense en profondeur. S’il est vital de pouvoir détecter les ransomwares et les tentatives de chiffrement, il est tout aussi important de disposer de technologies de sécurité capables d’alerter les responsables informatiques sur d’autres activités anormales telles que des mouvements latéraux. »

Chronologie de l’attaque

Les chercheurs de Sophos estiment que les opérateurs de Memento se sont infiltrés dans le réseau cible à la mi-avril 2021. Les auteurs de l’attaque ont exploité une faille dans VMware vSphere, un outil de virtualisation cloud connecté à Internet, pour s’implanter sur un serveur. Les éléments recueillis par les chercheurs révèlent que les assaillants ont lancé la principale intrusion début mai 2021.

Les auteurs de l’attaque ont mis à profit les premiers mois pour effectuer des mouvements latéraux et des reconnaissances, au moyen du protocole RDP, d’un scanner réseau NMAP, de l’analyseur de réseau Advanced Port Scanner et de l’outil de création de tunnel SSH Plink Secure Shell, afin d’établir une connexion interactive avec le serveur attaqué. Ils ont également utilisé mimikatz dans le but de collecter des identifiants de comptes pouvant servir lors des phases ultérieures de l’attaque.

Selon les chercheurs de Sophos, le 20 octobre 2021, les attaquants ont employé l’outil légitime WinRAR afin de compresser un ensemble de fichiers et de les exfiltrer via RDP.

Lancement du ransomware

Le premier déploiement du ransomware date du 23 octobre 2021. Les chercheurs de Sophos ont découvert que les auteurs de l’attaque ont au départ tenté de chiffrer directement les fichiers mais qu’ils ont été mis en échec par des mesures de sécurité. Les assaillants ont alors changé leur fusil d’épaule et revu les outils du ransomware avant de le redéployer. Ils ont copié des fichiers non chiffrés dans des archives protégées par mot de passe à l’aide d’une version gratuite et rebaptisée de WinRaR, puis chiffré le mot de passe et supprimé les fichiers originaux.

Les auteurs de l’attaque ont exigé une rançon de 1 million de dollars en bitcoin en échange de la restauration des fichiers. Heureusement, la victime a pu récupérer ses données sans céder à leur chantage.

Des portes ouvertes pour une attaque de l’extérieur

Une fois les auteurs de l’attaque Memento infiltrés dans le réseau cible, deux assaillants différents ont franchi le même point d’accès vulnérable, en exploitant des failles similaires. Ceux-ci ont déposé des mineurs de cryptomonnaie sur le même serveur infecté. L’un d’entre eux a installé un cryptomineur XMR le 18 mai et l’autre un cryptomineur XMRig le 8 septembre puis à nouveau le 3 octobre.

« Nous avons observé ce scénario à plusieurs reprises : lorsque des vulnérabilités ouvertes sur Internet sont rendues publiques sans être corrigées, des attaques multiples ne vont pas tarder à les exploiter. Plus longtemps les failles ne sont pas colmatées, plus elles attirent les cybercriminels », souligne Sean Gallagher. « Les cybercriminels écument continuellement Internet à la recherche de points d’entrée vulnérables et ils ne perdent pas de temps lorsqu’ils en trouvent un. Des attaques parallèles démultiplient les dommages et allongent d’autant le délai de récupération pour les victimes. Elles rendent également plus difficiles les investigations pour savoir qui a fait quoi, une information essentielle pour les équipes de réponse aux menaces, qui aidera les entreprises à prévenir une récidive des attaques. »

Pour en savoir plus, lisez l’article consacré au ransomware Memento sur SophosLabs Uncut.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.