Sophos descobre novo ramsomware Memento
    Tecnologia

    Sophos descobre novo ramsomware Memento

    24 November 2021

    • O ransomware Memento bloqueia ficheiros em arquivos protegidos por password quando não é capaz de encriptar os dados e exige 1 millhão de dólares em Bitcoin
    A Sophos, líder global em soluções de cibersegurança de próxima geração, acaba de publicar os detalhes de um novo ransomware Python, designado de Memento. A investigação “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection” descreve o ataque, que bloqueia ficheiros num arquivo protegido por password caso o ransomware Memento não seja capaz de encriptar os dados pretendidos.
    “Os ataques de ransomware liderados por humanos no mundo real raramente são claros e lineares,” comentou Sean Gallagher, Senior Threat Researcher da Sophos. “Os atacantes aproveitam as oportunidades quando as encontram, ou cometem erros e aí mudam a sua estratégia com rapidez. Se conseguirem aceder à rede de um alvo, não vão querer sair de mãos vazias. O ataque Memento é um bom exemplo disto, e um lembrete fundamental para a utilização de segurança de defesa em profundidade. Ser capaz de detetar ransomware e tentativas de encriptação é vital, mas também é importante possuir tecnologias de segurança que alertem os gestores de TI para outras atividades inesperadas, como os movimentos laterais”.
    O cronograma do ataque
    Os investigadores da Sophos acreditam que os agentes por detrás do Memento acederam à rede da vítima em meados de abril de 2021, tirando partido de uma falha no vSphere da VMWare, uma ferramenta de virtualização de computação na Cloud voltada para a internet, para conseguirem posicionar-se no servidor. As provas forenses encontradas pelos investigadores da Sophos indicam que os atacantes iniciaram a intrusão principal no princípio de maio de 2021.
    Tendo utilizado os primeiros meses para movimentos laterais e reconhecimento, recorreram ao Remote Desktop Protocol (RDP), a um scanner de rede NMAP, Advanced Port Scanner e à ferramenta Plink Secure Shell (SSH), para estabelecerem uma conexão interativa com o servidor violado. Os atacantes também utilizaram o mimikatz para recolher credenciais de contas, a utilizar em fases posteriores do ataque.
    De acordo com os investigadores da Sophos, a 20 de outubro de 2021 os atacantes utilizaram a ferramenta legítima WinRAR para comprimir um conjunto de ficheiros e exfiltraram-nos através do RDP.
    Lançamento do Ransomware
    Os atacantes lançaram o ataque pela primeira vez a 23 de outubro de 2021. Os investigadores da Sophos descobriram que os atacantes tentaram, inicialmente, encriptar diretamente os ficheiros, mas tal foi bloqueado por medidas de segurança. Alteraram, então, as suas táticas, reequipando o ransomware, e voltaram a lançá-lo. Copiaram os ficheiros não encriptados para arquivos protegidos por password utilizando uma versão gratuita do WinRAR com um novo nome, antes de encriptarem a password e apagarem os ficheiros originais.
    Os atacantes exigiram um resgate de 1 milhão de dólares em bitcoin para devolverem os ficheiros. Felizmente, a organização vítima foi capaz de recuperar os dados sem ser necessário envolver os atacantes.
    Pontos de acesso abertos deixam entrar novos atacantes
    Enquanto os atacantes do Memento estavam dentro da rede da vítima, outros dois atacantes conseguiram entrar nela através do mesmo ponto de acesso vulnerável, utilizando estratégias semelhantes. Cada um destes atacantes deixou cryptominers no mesmo serviço violado: um deles instalou um cryptominer XMR a 18 de maio, enquanto o segundo deixou um cryptominer CMRig a 8 de setembro e de novo a 3 de outubro.
    “Já assistimos a este fenómeno diversas vezes – quando as vulnerabilidades voltadas para a internet se tornam públicas e não são corrigidas, vários atacantes vão tirar partido delas com rapidez. Quanto mais tempo as vulnerabilidades ficarem por resolver, mais atacantes atrairão,” sublinha Gallagher. “Os cibercriminosos estão constantemente a analisar a internet para encontrar pontos de entrada online vulneráveis e não ficam à espera na fila quando encontram um. Ser atingido por diversos atacantes agrava a disrupção e o tempo de recuperação, e também dificulta que os investigadores forenses possam atuar e perceber quem fez o quê – uma informação importante para que os especialistas em resposta a ameaças consigam ajudar as organizações a prevenir a repetição dos ataques.”
    Conselhos de segurança
    A Sophos acredita que este incidente, em que múltiplos atacantes exploraram um servidor desprotegido exposto à internet, realça a importância de aplicar patches com rapidez, bem como de verificar, junto dos integradores, programadores ou fornecedores de serviços externos, a segurança do seu software.
    A Sophos recomenda ainda as seguintes boas práticas gerais para auxiliar na defesa contra ransomware e outros ciberataques relacionados:
    A nível estratégico
    • Implementar proteção por camadas. À medida que cada vez mais ataques de ransomware começam a envolver extorsão, as cópias de backup são necessárias, mas insuficientes. Agora, mais do que nunca, é importante impedir a entrada dos adversários ou detetá-los rapidamente, antes que causem danos. É necessário utilizar proteção por camadas para bloquear e detetar atacantes no maior número possível de pontos de acesso de uma rede.
    • Combinar especialistas humanos e tecnologia anti ransomware. O segredo para impedir um ataque de ransomware é uma defesa em profundidade, que combine tecnologias anti ransomware dedicadas e threat hunting liderado por humanos. A tecnologia proporciona a escala e a automação de que uma organização precisa, enquanto os especialistas humanos estão mais bem capacitados para detetar as táticas, técnicas e procedimentos que indicam que um atacante está a tentar entrar na rede. Se uma organização não tiver estas capacidades na sua equipa, pode recorrer ao apoio de especialistas em cibersegurança.
    A nível tático no quotidiano
    • Monitorizar e dar resposta a alertas. É importante garantir que as ferramentas, processos e recursos humanos estão disponíveis para monitorizar, investigar e dar resposta às ameaças detetadas na rede. É frequente os atacantes de ransomware agendarem os seus ataques para as horas sem movimento, como fins de semana e feriados, assumindo que poucos ou nenhuns colaboradores estarão a monitorizar.
    • Criar e implementar passwords fortes. As passwords sólidas são uma das primeiras linhas de defesa. Devem ser únicas ou complexas, e nunca devem ser reutilizadas. Isto é mais fácil de executar através de um gestor de passwords, que pode armazenar as credenciais dos colaboradores.
    • Utilizar a Autenticação Multifator (MFA). Até as passwords mais sólidas podem ficar comprometidas. Qualquer formato de autenticação multifator é melhor do que não utilizar nenhum, de forma a proteger o acesso a recursos importantes como o email, ferramentas de gestão remota e ativos de rede.
    • Bloquear serviços acessíveis. É necessário realizar análises à rede a partir do exterior, e identificar e bloquear os acessos mais utilizados por VNC, RDP e outras ferramentas de acesso remoto. Se um dispositivo precisa de estar acessível através de uma ferramenta de gestão remota, esta deve ser colocada sob proteção de uma VPN ou uma solução de acesso à rede zero-trust, que utilize a MFA como parte do login.
    • Aplicar segmentação e zero-trust. Separar os servidores críticos entre si e criar estações de trabalho, colocando-os em VLANs separadas à medida que se trabalha para um modelo de rede zero-trust.
    • Fazer cópias de backup offline da informação e das aplicações. Manter os backups atualizados, garantir que são recuperáveis e manter uma cópia offline.
    • Fazer um inventário de ativos e contas. Os dispositivos desconhecidos, desprotegidos ou sem patches na rede aumentam o nível de risco e criam situações em que atividades maliciosas podem passar despercebidas. É essencial ter um inventário corrente de todos os dispositivos e ligações de computação. É importante utilizar análises de rede, ferramentas IaaS e análises físicas para os localizar e catalogar, bem como instalar software de proteção de endpoints em quaisquer máquinas que estejam desprotegidas.
    • Garantir que os produtos estão corretamente configurados. Os sistemas e dispositivos com baixo nível de proteção também estão vulneráveis. É importante garantir que as soluções de segurança estão configuradas de forma correta, verificá-las e, onde necessário, validar e atualizar as políticas de segurança regularmente. As atualizações de segurança nem sempre ficam automaticamente ativas.  Não se deve desativar a proteção contra violações nem criar amplas áreas de exclusão de deteção, uma vez que tal facilitará o trabalho dos atacantes.
    • Audit Active Directory (AD). Tal significa conduzir auditorias regulares em todas as contas de AD, garantindo que nenhuma tem mais acesso do que o necessário para o seu propósito. Por exemplo, devem desativar-se as contas dos colaboradores assim que deixam de trabalhar na empresa.
    • Fazer patches de tudo. É necessário manter o Windows e outros sistemas operativos e softwares atualizados. Tal significa também fazer uma dupla verificação de que os patches foram instalados corretamente e que estão colocados nos sistemas críticos, como máquinas voltadas para a internet e controlos de domínio.
    Os produtos de endpoint da Sophos, como é o caso do Intercept X, protegem os utilizadores aos detetarem as ações e comportamentos do ransomware e de outros ataques. A tentativa de encriptar ficheiros é bloqueada pela funcionalidade CryptoGuard. A deteção e resposta integrada de endpoints, incluindo o Sophos Extended Detection and Response (XDR), pode ajudar a capturar a atividades nefastas, por exemplo a criação de arquivos protegidos por passwords por parte dos atacantes, tal como registado no ataque de ransomware Memento.
    Para mais informações, consulte o artigo sobre o ransomware Memento publicado no SophosLabs Uncut.
    ###
    Para mais informação:
    Leia as últimas notícias sobre segurança na nossa página Naked Security News e saiba mais sobre a Sophos no nosso canal Sophos News.

    Sobre a Sophos: A Sophos é líder mundial em cibersegurança de última geração, protegendo mais de 500.000 organizações e milhões de consumidores, em mais de 150 países, contra as mais avançadas ciberameaças da atualidade. Graças à inteligência sobre ameaças, à IA e ao machine learning da SophosLabs e da SophosAI, a Sophos oferece um amplo portefólio de avançados produtos e serviços que protegem utilizadores, redes e endpoints contra ransomware, malware, exploits, phishing e uma grande variedade de outros ciberataques. A Sophos oferece uma consola de gestão baseada na Cloud, única e integrada, a Sophos Central – a peça central de um ecossistema adaptativo de cibersegurança, com um data lake centralizado que tira partido de um rico conjunto de APIs abertas e disponíveis para clientes, parceiros, programadores e outros fornecedores de cibersegurança. Os produtos e serviços da Sophos estão disponíveis através da sua rede global de parceiros revendedores e fornecedores de serviços geridos (MSP). A empresa tem sede em Oxford, no Reino Unido. Pode encontrar mais informação em www.sophos.com.

    Related Stories
    Tecnologia
    OPPO apresenta A5 Pro 4G & 5G: um smartphone robusto, fiável e de alto desempenho para atividades ao ar livre, jogos e entretenimento

    A OPPO, marca líder em inovação de dispositivos inteligentes, lançou hoje o A5 Pro 4G & 5G em Portugal, que traz durabilidade e fiabilidade elevadas à Série A da marca, apresentado resistência a água e poeira IP69/68/66 acima da sua classe, bem como certificação de r...

    24 April 2025

    Tecnologia
    Estudo Axis Communications: Mais de 60% dos especialistas considera cibersegurança e privacidade como as questões mais críticas para o futuro da videovigilância

    Num contexto global caracterizado pela utilização crescente da Inteligência Artificial (IA) e pela necessidade de cumprir várias regulamentações sobre o tratamento de dados pessoais, o debate sobre a privacidade, a transparência e a ética tecnológica ganhou força, especi...

    23 April 2025

    Tecnologia
    OPPO revela iniciativa de IA Agêntica no Google Cloud Next 2025, destacando inovações e liderança em experiências de IA

    A OPPO, marca líder em inovação de dispositivos inteligentes, articulou a sua visão estratégica para a IA Agêntica (Agentic AI) no Google Cloud Next 2025, sublinhando a sua estratégia enquanto líder em experiências de IA através do desenvolvimento interno e da colaboraçã...

    14 April 2025

    Tecnologia
    Sophos nomeia Chris Bell como Senior Vice President of Global Channel, Alliances and Corporate Development para liderar evolução da estratégia global de Canal

    A Sophos, líder global em soluções de segurança inovadoras que vencem os ciberataques, anunciou hoje a nomeação de Chris Bell como Senior Vice President of Global Channel, Alliances and Corporate Development, cargo no qual vai liderar a evolução da estratégia global de C...

    9 April 2025

    Privacy Policy
    We use cookies to run our website, analyze your use of our services, manage your online preference & personalize ad content. By accepting our cookies, you’ll get relevant content and social media features, personalized ads, and an enhanced browsing experience. To manage your choices, click „Cookie Settings”. Necessary cookies are required for the core website functionality and cannot be rejected. For more information, see our Cookie Policy.
    Cookie settings
    Cookies used on the site are categorized and below you can read about each category and allow or deny some or all of them, except for Necessary Cookies which are required to provide core website functionality. When categories that have been previously allowed are disabled, all cookies assigned to that category will be removed from your browser. You can see a list of cookies assigned to each category and detailed information on those cookies in the “Cookie Policy” tab.
    Necessary cookies
    Some cookies are required to provide core functionality. The website won't function properly without these cookies and they are enabled by default and cannot be disabled.
    Preferences
    Preference cookies enables the website to remember information to customize how the website looks or behaves for each user. This may include storing selected currency region, language or color theme.
    Analytical cookies
    Analytical cookies help us improve our website by collecting and reporting information on its usage.
    Marketing cookies
    Marketing cookies are used to track visitors across websites to allow publishers to display relevant and engaging advertisements. By enabling marketing cookies, you grant permission for personalized advertising across various platforms.