Il 22 novembre scorso, i ricercatori di Sophos hanno dato notizia della scoperta di un nuovo ransomware che ha già creato non pochi problemi. Il suo nome è Memento, lo stesso del team di hacker che lo sta diffondendo, e viene descritto come un virus che è basato sul linguaggio Python.

La sua pericolosità sta ovviamente nel suo funzionamento. Una volta caduti vittime di Memento, infatti, iniziano i normali tentativi di criptazione dei file presenti sulla macchina, ma se questi non vanno a buon fine viene operata una chiusura di tutti questi file in una cartella compressa che verrà coperta da una password. Quello che viene fatto, in questo caso, è chiamato in gergo movimento laterale, ovvero un modo per aggirare alcune difese se non si riesce ad affondare subito il colpo e non gettare alle ortiche la riuscita violazione dei sistemi della vittima.

L’attacco, secondo Sophos, parte da lontano, ovvero nell’aprile 2021, quando viene data la notizia di una grossa vulnerabilità sul sistema di virtualizzazione VMware vSphere (qui un articolo). In quell’occasione, pare che il gruppo Memento sia riuscito ad intrufolarsi e ad effettuare una ricognizione durata mesi comprendente anche il furto delle necessarie credenziali per sferrare l’attacco. Quest’ultimo, poi, è arrivato nell’ottobre scorso e, per l’esfiltrazione e la criptazione dei dati, è stato utilizzato il classico programma WinRAR esfiltrando i dati da Desktop Remoto.

Come accennato, la criptazione di una cartella compressa è stato il piano B dopo aver tentato senza successo di criptare direttamente i dati. L’attacco vero e proprio pare essersi svolto il 23 ottobre 2021. Il riscatto richiesto, poi non pagato dall’azienda al momento anonima, è stato di ben 1 milione di dollari in Bitcoin. Pare che la vittima non abbia pagato poiché è stata in grado di recuperare tutto senza ricorrere al pagamento del riscatto.

Sembra una storia totalmente a lieto fine ma non lo è, perché la porta lasciata aperta da Memento è stata sfruttata poi da altri hacker che hanno installato diversi cryptominer. Questo è accaduto perché la notizia della falla è diventata pubblica e i proprietari del server non hanno applicato subito le patch di aggiornamento già allora disponibili.

Quando si gestiscono macchine come quelle attaccate in questa vicenda è sempre necessario seguire tutti i flussi degli aggiornamenti disponibili per coprirsi sempre in caso di attacco. Altri consigli, per evitare problemi, sono quelle di sfruttare i backup, imporre password forti, usare autenticazioni multi-fattore e monitorare le macchine ogni giorno.