news&blog

Memento – новиот ransomware во акција

НОВИОТ актер за откупни софтвер користи архиви заштитени со лозинка за да ја заобиколи заштитата со шифрирање…

Нарекувајќи се себеси „Memento Team“, овие актери на закани користат ransomware базиран на Python што го реконфигурирале по неуспесите.

Кон крајот на октомври, тимот за брза реакција на Sophos MTR наиде на нова група за откуп со интересен пристап  –  ги држи датотеките на жртвите како заложници. Откупниот софтвер што го користи оваа група, која се идентификува како „Memento Team“, не ги шифрира датотеките. Наместо тоа, ги копира датотеките во архиви заштитени со лозинка, користејќи преименувана бесплатна верзија на легитимната алатка за датотеки WinRAR. Потоа ја шифрира лозинката и ги брише оригиналните датотеки.

Ова беше преуредување од страна на актерите за откуп, кои првично се обидоа директно да ги шифрираат датотеките – но беа запрени од заштитата на крајната точка. Откако не успеаја при првиот обид, тие ја сменија тактиката и повторно се распоредија, како што беше потврдено од повеќе верзии на товарот за откуп, компајлирани во различни времиња, пронајдени на мрежата на жртвата. Тие потоа побараа 1 милион долари за обновување на датотеките. Се заканија дека ќе бидат изложени податоците, доколку жртвата не се придржува.

Други пресврти во нападот „Memento“

Имаше и некои други пресврти во нападот „Memento“. Самиот откупен софтвер е  Python 3.9 скрипта,  компајлирана со PyInstaller. И во белешката за откуп што во голема мера е сличен на форматот што го користи REvil, вклучувајќи го и воведот („[-] Што се случува [-]), криминалците кои стоеја зад нападот им наложија на жртвите да контактираат со нив преку сметка на Telegram. Напаѓачите, исто така, распоредија keyloggers со отворен код базиран на Python на неколку машини, додека се движеле странично во мрежата, користејќи протокол за далечинска работна површина.

Актерите на Memento исто така чекаа долго време пред да го извршат својот напад (околу 6 месеци) – толку долго што барем два различни рудари на криптовалути беа  спуштени на серверот што го користеа за првичен пристап во текот на времето на престој, од страна на различни натрапници кои користат слични експлоити.

Разврска

Благодарение на резервните копии, таргетираната организација успеа да ги врати повеќето од своите податоци. Кај системи со InterceptX, системот за откривање и одговор на крајната точка ги евидентирал командите користени од нападот и ги архивирал датотеките, заедно со нешифрираните лозинки за датотеките.

SophosLabs и Sophos Rapid Response успеаа да повратат одредени датотеки на жртвата. Обезбедија и метод за враќање на сите датотеки што беа бекапирани.

Списокот на ИОК за нападот Memento и нападите на рударите од овој инцидент е достапен на страницата GitHub на SophosLabs.

Прочитајте ја целата приказна од Шон Галагер и тимот тука.

Julija Damjanovska

Recent Posts

Зајакнување на тимот преку континуирана доедукација

Во КАБТЕЛ, силно веруваме дека клучот за да останете напред во брзата ИКТ индустрија лежи…

1 час ago

Секоја петта компанија доживеала прекршување на податоците

Секоја петта компанија доживеала прекршување на податоците Според степенот на ризик од сајбер закани кои…

1 недела ago

Sophos XDR: Нови AI функционалности и подобрувања на истрагите

Sophos XDR: Нова генеративна функционалност на вештачката интелигенција и подобрувања на истрагите Работете самоуверено и…

2 недели ago

SCADA автоматизација – искористување на целосниот потенцијал

Ослободете го целосниот потенцијал на вашите операции со SCADA автоматизација SCADA системите за надзорна контрола…

1 месец ago

Нови XGS Series Desktop Firewalls уреди & SFOS v21

Sophos Firewall: Новi Desktop Firewalls XGS Series и нова верзија Sophos Firewall Operating System v21…

1 месец ago

Кабтел повторно THALES Key Industrial Partner

Кабтел повторно Key Industrial Partner на Thales, со зајакната посветеност кон иновативни и безбедни решенија…

1 месец ago