Sta girando un ransomware molto pericoloso e poco rassicurante in questi giorni. La sua peculiarità? Può rubare facilmente tutti i nostri dati senza il minimo sforzo. Cerchiamo di capire come ci riesce e in quanto tempo ci mette.
Nei primi giorni di novembre, gli addetti alla sicurezza di Sophos sono riusciti a scoprire, durante le loro analisi, un nuovo tipo di ransomware pericoloso e che sembra utilizzi un modo tutto suo per compiere gli attacchi hacker.
LEGGI ANCHE: Nuovo telescopio spaziale James Webb, ancora un ritardo sul lancio. Ecco cos’è successo
Il linguaggio con cui è stato scritto è quello Python, grazie al quale è in grado di acquisire un gran numero di dati in poco tempo e con molta facilità. Dunque, e dal momento che parliamo informazioni particolari, gli esperti informatici hanno studiato il suo funzionamento per capire come risolverlo.
Metodo d’azione del virus
Prende il nome di Memento, e come abbiamo già detto in precedenza si tratta di un malware capace di sfruttare una vulnerabilità di VMware vCenter Server per avere un accesso permanente nelle varie reti aziendali. Sophos, in merito a questo problema, non è rimasto in disparte ed ha voluto offrire diverse soluzioni sia consumer che business per intercettare gli attacchi ransomware e proteggere, con successo, i nostri dispositivi.
Tra quelle che ci hanno proposto possiamo tirare in ballo Intercept X, il quale sfrutta CryptoGuard e ci permette di bloccare i tentativi di decifrazione dei file, e XDR, acronimo di Extended Direction and Response, con cui è possibile sapere se, qualche virus, sta agendo a nostra insaputa creando degli archivi dove inserire i dati.
Ed è praticamente quello che ha fatto Memento. Ha tentato di decifrare i file, per poi copiarli in una cartella munita di password, utilizzando, in seguito, una versione gratuita di WinRaR. Ovviamente, dopo che il ransomware riesce a rubare i dati, li cancella dalla fonte originale.
Dopo ciò avviene la parte finale, nonché quella più difficile da affrontare. Gli hacker lasciano un messaggio nei dispositivi delle vittime, chiedendo, solitamente, un milione di dollari di riscatto per riottenere i file persi.
Tutto questo avviene a causa della vulnerabilità dei VMware vCenter Server per accedere alla rete della porta TCP/IP 443, e dopo aver scaricato i tool sulle reti – allo scopo di eseguire i comandi via WMI – recuperano facilmente le credenziali dei login. Inoltre, i pirati informatici fanno uso di altri programmi, come Plink SSH, NMAP, NPCAP e Mimikatz.
LEGGI ANCHE: Amazon Echo presenta nuovi modelli, senza telecamera, in grado di vederci
Con tutti questi strumenti, per loro, non può che essere un gioco da ragazzi rubare dati nei server delle varie aziende, ed è quello che è successo proprio ad una di queste. Ma, fortunatamente, non è andata a finire come credevano gli hacker: la compagnia aveva un backup di tutte le informazioni prese, dunque non ha dovuto pagare i cyber criminali per riaverli.
