Geral 1min de Leitura - 29 de novembro de 2021

Memento, o ransomware que rouba dados com WinRAR

memento

This post is also available in: Português

Uma empresa de segurança digital descobriu recentemente um ransomware inédito. Trata-se do Memento, um tipo de golpe capaz de burlar os mecanismos tradicionais de segurança contra esse tipo de ameaça, utilizando abordagens que geralmente não são utilizadas para fins nocivos.

Esse ransomware começa agindo como um malware comum, invadindo sistemas e roubando arquivos. Como todo malware, o Memento solicita um resgate, porém, um valor altíssimo de US$ 1 milhão em bitcoins.

Memento em ação

O Memento, que desde abril deste ano é organizado em Python, explora sistemas de segurança desatualizados, utilizando uma abordagem diferente do método de criptografia de arquivos.

O malware explora uma falha na plataforma de virtualização para computação em nuvem cSphere, da VMWare. Os cibercriminosos violaram o servidor com uma conexão sorrateira e utilizaram uma ferramenta conhecida como Mimikatz, que rouba senhas do Windows.

A segunda fase do ataque foi detectada apenas no mês passado. Para roubar os dados, o Memento utiliza um serviço modificado, baseado no WinRAR – programa de compactação de arquivos -, para travar os dados por uma senha e enviá-los a um servidor próprio. Essa etapa burla eventuais sistemas com uma segurança anticriptografia e foi adicionada posteriormente pelos criminosos como “plano b” de invasão a partir desse mecanismo mais básico, mas igualmente eficiente.

A empresa de segurança digital conseguiu barrar o Memento e outras tentativas de exploração da mesma vulnerabilidade em uma empresa parceira.

É possível conferir os detalhes sobre a descoberta do Memento na pesquisa “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection”.

This post is also available in: Português