news&blog

Memento – новиот ransomware во акција

НОВИОТ актер за откупни софтвер користи архиви заштитени со лозинка за да ја заобиколи заштитата со шифрирање…

Нарекувајќи се себеси „Memento Team“, овие актери на закани користат ransomware базиран на Python што го реконфигурирале по неуспесите.

Кон крајот на октомври, тимот за брза реакција на Sophos MTR наиде на нова група за откуп со интересен пристап  –  ги држи датотеките на жртвите како заложници. Откупниот софтвер што го користи оваа група, која се идентификува како „Memento Team“, не ги шифрира датотеките. Наместо тоа, ги копира датотеките во архиви заштитени со лозинка, користејќи преименувана бесплатна верзија на легитимната алатка за датотеки WinRAR. Потоа ја шифрира лозинката и ги брише оригиналните датотеки.

Ова беше преуредување од страна на актерите за откуп, кои првично се обидоа директно да ги шифрираат датотеките – но беа запрени од заштитата на крајната точка. Откако не успеаја при првиот обид, тие ја сменија тактиката и повторно се распоредија, како што беше потврдено од повеќе верзии на товарот за откуп, компајлирани во различни времиња, пронајдени на мрежата на жртвата. Тие потоа побараа 1 милион долари за обновување на датотеките. Се заканија дека ќе бидат изложени податоците, доколку жртвата не се придржува.

Други пресврти во нападот „Memento“

Имаше и некои други пресврти во нападот „Memento“. Самиот откупен софтвер е  Python 3.9 скрипта,  компајлирана со PyInstaller. И во белешката за откуп што во голема мера е сличен на форматот што го користи REvil, вклучувајќи го и воведот („[-] Што се случува [-]), криминалците кои стоеја зад нападот им наложија на жртвите да контактираат со нив преку сметка на Telegram. Напаѓачите, исто така, распоредија keyloggers со отворен код базиран на Python на неколку машини, додека се движеле странично во мрежата, користејќи протокол за далечинска работна површина.

Актерите на Memento исто така чекаа долго време пред да го извршат својот напад (околу 6 месеци) – толку долго што барем два различни рудари на криптовалути беа  спуштени на серверот што го користеа за првичен пристап во текот на времето на престој, од страна на различни натрапници кои користат слични експлоити.

Разврска

Благодарение на резервните копии, таргетираната организација успеа да ги врати повеќето од своите податоци. Кај системи со InterceptX, системот за откривање и одговор на крајната точка ги евидентирал командите користени од нападот и ги архивирал датотеките, заедно со нешифрираните лозинки за датотеките.

SophosLabs и Sophos Rapid Response успеаа да повратат одредени датотеки на жртвата. Обезбедија и метод за враќање на сите датотеки што беа бекапирани.

Списокот на ИОК за нападот Memento и нападите на рударите од овој инцидент е достапен на страницата GitHub на SophosLabs.

Прочитајте ја целата приказна од Шон Галагер и тимот тука.

Julija Damjanovska

Recent Posts

Трансформирање на индустриите со паметна RFID технологија

Отклучете ја ефикасноста и безбедноста со RFID решенија Трансформација на индустриите со паметна RFID технологија…

2 weeks ago

Водич за заштита на податоците во ерата на AI

Заштита на податоците во ерата на вештачката интелигенција: Водич за да започнете Започнете со основите:…

3 weeks ago

Што е Quishing и како да се одбраните?

Актерите на заканите постојано наоѓаат нови и иновативни начини да ги компромитираат системите, а најновата техника…

3 weeks ago

Кибербезбедност и заштита на податоци во 2025

Кибербезбедност и заштита на податоци во 2025 година: заштита од зголемена закана Во 2024 година,…

4 weeks ago

КАБТЕЛ го обнови статусот Sophos Platinum Partner

Скопје, [20.02.2025] – КАБТЕЛ, водечки интегратор на ИКТ решенија, гордо објавува дека уште еднаш го…

1 month ago

Комплет алатки против ransomware без надомест

Со оглед на тоа што 66% од организациите пријавиле рансомвер напад во изминатата година, откупниот…

1 month ago