Una nueva variedad de ransomware llamada Memento muestra la creciente perspicacia técnica de muchos actores maliciosos, demostrando claramente su capacidad para cambiar sus tácticas sobre la marcha en caso de que sus planes iniciales se interrumpan.
El ransomware codificado en Python fue observado por los respondedores de incidentes de Sophos, que se comunicaron con una víctima a principios de este otoño. Los operadores de Memento obtuvieron acceso a la red de destino ya en abril mediante la explotación de una vulnerabilidad no parcheada en VMware vSphere.
Luego, pasaron varios meses sin hacer nada, utilizando el protocolo de escritorio remoto (RDP), el escáner de red NMAP, el escáner de puerto avanzado y el túnel Plink Secure Shell (SSH) para conectarse al servidor comprometido. Las credenciales se recolectaron con Mimikatz.
El 20 de octubre de 2021, Memento utilizó la herramienta WinRAR para comprimir y exfiltrar los datos de la víctima a través de RDP, antes de implementar el ransomware el 23 de octubre. Hasta ahora, tan normal.
Pero en este punto, los ciberdelincuentes encontraron un problema: su intento de cifrar directamente los archivos de la víctima fue bloqueado por herramientas de seguridad. En respuesta, cambiaron de rumbo, renovaron Memento y lo redistribuyeron.
Esta vez, copiaron archivos no cifrados en un archivo protegido con contraseña utilizando una versión gratuita renombrada de WinRAR, antes de cifrar la contraseña y eliminar los archivos originales. Luego exigieron un rescate de bitcoin de $ 1 millón, aunque la víctima afortunadamente se mantuvo al tanto de su seguridad y pudo recuperarse sin pagar.
Sean Gallagher, investigador senior de amenazas en Sophos, dijo que la aparición de Memento demuestra cómo los ataques de ransomware dirigidos por humanos rara vez son claros y lineales, pero pueden evolucionar rápidamente para dar cuenta de circunstancias específicas.
“Los atacantes aprovechan las oportunidades cuando las encuentran o cometen errores, y luego cambian de táctica ‘sobre la marcha’”, dijo. “Si pueden ingresar a la red de un objetivo, no querrán irse con las manos vacías. El ataque Memento es un buen ejemplo de esto y sirve como un recordatorio fundamental para utilizar la seguridad de defensa en profundidad.
“Ser capaz de detectar ransomware y los intentos de cifrado es vital, pero también es importante contar con tecnologías de seguridad que puedan alertar a los administradores de TI sobre otras actividades inesperadas, como movimientos laterales”.
El incidente también contiene otras lecciones para los defensores, lo que nuevamente resalta la utilidad de la mentalidad de defensa en profundidad y del parcheo oportuno, porque al mismo tiempo que los operadores de Memento se pusieron a trabajar, otros dos atacantes comprometieron el servidor vSphere en múltiples ocasiones.
El primer atacante instaló un cryptominer XMR el 18 de mayo, y el otro instaló un cryptominer XMRig el 8 de septiembre, y luego nuevamente el 3 de octubre.
“Hemos visto esto repetidamente: cuando las vulnerabilidades de Internet se vuelven públicas y no se reparan, varios atacantes las explotarán rápidamente”, dijo Gallagher. “Cuanto más tiempo no se mitiguen las vulnerabilidades, más atacantes atraen.
“Los ciberdelincuentes escanean continuamente Internet en busca de puntos de entrada vulnerables en línea, y no esperan en la fila cuando encuentran uno. Ser violado por varios atacantes agrava la interrupción y el tiempo de recuperación para las víctimas. También hace que sea más difícil para las investigaciones forenses desentrañar y resolver quién hizo qué, que es información importante que los respondedores de amenazas deben recopilar para ayudar a las organizaciones a prevenir ataques repetidos adicionales “.