Le nouveau ransomware utilisé par « Memento Team » utilise le célèbre programme de compression WinRAR pour chifrer les fichiers de l’ordinateur à l’aide d’un mot de passe, après quoi il supprime les fichiers originaux.

L’équipe des Sophos Labs a découvert un nouveau type de ransomware écrit en Python 3.9, qui utilise une curieuse méthode pour contourner certaines mesures de sécurité des ransomwares : au lieu de chiffrer les fichiers à l’aide d’outils propriétaires, il utilise une version gratuite de WinRAR pour chiffrer les fichiers vers un nouveau fichier avec un mot de passe, puis chiffrer le mot de passe et enfin supprimer les fichiers originaux.

Pour son installation, le malware utilise PyInstaller, un moyen de créer des paquets Python multiplateformes. Cependant, la menace vise les machines Windows et utilise des outils supplémentaires du dépôt d’Impacket, tels que wmiexec pour un shell distant ou secretsdump pour obtenir des informations d’identification. Une vulnérabilité critique découverte dans VMWare, dont nous avons parlé en février de cette année, est utilisée comme vecteur d’attaque.

Outre ces outils, l’attaque ciblée utilise d’autres programmes, que les attaquants ont même laissés sur les machines infectées, tels que Plink SSH pour créer des tunnels SSH, Nmap pour analyser le réseau, Npcap pour capturer le trafic réseau ou Mimikatz pour voler des informations d’identification. Grâce à ces outils, les attaquants parviennent à se déplacer latéralement dans le réseau pour continuer à infecter d’autres machines. Pour assurer la persistance, ils utilisent un fichier batch (‘wincert.bat’) et une tâche système planifiée (appelée ‘Windows Defender Metadata Monitor’).

Enfin, après avoir réussi à crypter les fichiers, les attaquants placent sur la machine un fichier appelé « Hello Message.txt » contenant des instructions sur la manière de récupérer les fichiers. Dans l’attaque analysée par Sophos, le montant demandé était de 15,95 BTC. 897656,43 $ ou 840852,73 CHF au moment de la rédaction du présent rapport. Un numéro de téléphone Telegram et une adresse ProtonMail sont donnés pour le paiement.

Bien que les attaques par ransomware soient de plus en plus courantes, ces attaques portant sur de grosses sommes d’argent n’ont tendance à se produire que dans le cadre d’attaques ciblées où les attaquants connaissent la taille de l’entreprise et le montant qu’elle peut se permettre de payer pour la rançon. C’est pourquoi, en particulier pour ces organisations, nous recommandons de commencer par une politique de sauvegarde de tous vos fichiers. Toutefois, cela ne suffit pas.

Certains attaquants, après avoir refusé de payer la rançon, vont jusqu’à menacer de rendre publics les fichiers volés. Dans des cas comme celui-ci, où la vulnérabilité de VMWare est connue depuis 6 mois, elle pourrait être évitée en maintenant le logiciel à jour. C’est pourquoi nous recommandons toujours d’appliquer les mises à jour de sécurité.

Plus d’information:
https://news.sophos.com/en-us/2021/11/18/new-ransomware-actor-uses-password-protected-archives-to-bypass-encryption-protection/