A empresa de segurança Sophos detectou um ransomware até então inédito no mercado. Trata-se do Memento, um golpe que é capaz de burlar mecanismos tradicionais de segurança contra esse tipo de ameaça utilizando uma abordagem que normalmente não é usada para fins nocivos.
O Memento começa agindo como um malware comum, invadindo sistemas e roubando arquivos. E ele pede um resgate alto: o equivalente a US$ 1 milhão em bitcoins para liberar os dados e a máquina infectada.
Ele explora um sistema de segurança desatualizado e, para piorar, deixa de lado o método de criptografia de arquivos para utilizar uma abordagem que parece igualmente perigosa.
Como age o Memento
Organizado em Python a partir de abril deste ano, o vírus de computador explora uma falha na plataforma de virtualização para computação em nuvem vSphere, da VMWare. Os criminosos violaram o servidor com uma conexão sorrateira e utilizaram uma ferramenta conhecida como Mimikatz, que rouba senhas do Windows.
Mas a segunda fase do ataque só foi detectada agora em outubro. Para “sequestrar” os dados, o Memento utiliza um serviço modificado baseado no WinRAR, o popular programa de compactação de arquivos, para travar os dados por uma senha e enviá-los a um servidor próprio. Essa etapa burla eventuais sistemas com uma segurança anticriptografia e foi adicionada posteriormente pelos criminosos como “plano b” de invasão a partir desse mecanismo mais rudimentar, mas igualmente eficiente.
A Sophos conseguiu detectar e barrar o Memento e outras tentativas de exploração da mesma vulnerabilidade em uma empresa parceira. Os detalhes sobre a descoberta do Memento foram publicados na pesquisa “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection”. Clique aqui para conferir o documento (em inglês).
Source link