El nuevo ransomware utilizado por el grupo autodenominado «Memento team» utiliza el famoso programa de compresión WinRAR para cifrar los ficheros del equipo con una contraseña, tras lo cual elimina los ficheros originales.
El equipo de Sophos Labs ha encontrado un nuevo tipo de ransomware escrito en Python 3.9, el cual utiliza una curiosa forma de saltarse ciertas medidas de seguridad contra el ransomware: en vez de cifrar los ficheros utilizando herramientas propias, utiliza una versión freeware de WinRAR para cifrar los ficheros a un nuevo fichero con contraseña, después cifrar dicha clave y finalmente eliminar los ficheros originales.
Para su instalación este malware utiliza PyInstaller, una forma de crear paquetes multiplataforma en Python. No obstante, la amenaza se encuentra dirigida a equipos Windows, usando herramientas adicionales del repositorio Impacket como wmiexec para disponer de una shell remota o secretsdump para obtener credenciales. Como vector de ataque, según se ha comprobado, se utiliza una vulnerabilidad crítica descubierta en VMWare, de la que ya hablamos en febrero de este año.
Además de estas herramientas, en el ataque dirigido se hace uso de otros programas, los cuales los atacantes han llegado a dejar en las máquinas infectadas, como son Plink SSH para crear túneles SSH, Nmap para escanear la red, Npcap para capturar tráfico de red o Mimikatz para robar credenciales. Gracias a estas herramientas, los atacantes consiguen moverse lateralmente en la red para continuar infectando otras máquinas. Para conseguir persistencia utilizan un fichero batch (‘wincert.bat’) y una tarea programada del sistema (llamada ‘Windows Defender Metadata Monitor’).
Finalmente, tras lograr cifrar los ficheros, los atacantes colocan un archivo en la máquina llamado ‘Hello Message.txt’ con las instrucciones para recuperar los ficheros. En el ataque analizado por Sophos, la cantidad demandada asciende a 15,95 BTC. Unos 931.212$ o 828.601€ al cambio en el momento de escribir la noticia. Para el pago se indica un número de teléfono de Telegram y una dirección de ProtonMail.
Aunque los ataques por ransomware son cada vez más comunes, estos ataques por grandes sumas de dinero sólo suelen darse en ataques dirigidos en los que atacantes conocen el tamaño de la empresa y la cantidad que puede desembolsar por el rescate. Es por ello que, sobre todo a estas organizaciones, recomendamos comenzar con una política de copias de seguridad de todos sus ficheros. No obstante, esto no es suficiente.
Algunos atacantes tras negarse a pagar el rescate, llegan a amenazar con hacer públicos los ficheros sustraídos. En casos como este, en que la vulnerabilidad en VMWare era conocida desde hace ya 6 meses, podría evitarse manteniendo el software actualizado. Es por ello que recomendamos siempre aplicar las actualizaciones de seguridad. Para ello, Hispasec dispone del servicio SANA, el cual notifica de las vulnerabilidades conocidas en el software de la entidad para mantenerlo siempre actualizado. Además, los servicios de auditoría permiten conocer estas vulnerabilidades para darles solución.