Le ransomware Memento verrouille les fichiers dans une archive protégée par mot de passe lorsqu’il ne parvient pas à chiffrer les données et exige 1 million de dollars en bitcoin

PARIS — novembre 18, 2021 —

Sophos, un leader mondial de la cybersécurité de nouvelle génération, publie un rapport détaillé concernant un nouveau ransomware Python nommé Memento. L’étude New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection décrit l’attaque, qui verrouille les fichiers dans une archive protégée par mot de passe si le ransomware Memento ne parvient pas à chiffrer les données ciblées.

« Dans le monde réel, les attaques de ransomwares humaines sont rarement franches et linéaires », commente Sean Gallagher, chercheur senior en menaces chez Sophos. « Leurs auteurs saisissent les opportunités qu’ils trouvent ou commettent des erreurs, puis changent de tactique “à la volée”. S’ils réussissent à s’introduire dans un réseau cible, ils ne veulent pas repartir les mains vides. L’attaque Memento en est un bon exemple et vient nous rappeler la nécessité critique d’appliquer une défense en profondeur. S’il est vital de pouvoir détecter les ransomwares et les tentatives de chiffrement, il est tout aussi important de disposer de technologies de sécurité capables d’alerter les responsables informatiques sur d’autres activités anormales telles que des mouvements latéraux. »

Chronologie de l’attaque

Les chercheurs de Sophos estiment que les opérateurs de Memento se sont infiltrés dans le réseau cible à la mi-avril 2021. Les auteurs de l’attaque ont exploité une faille dans VMware vSphere, un outil de virtualisation cloud connecté à Internet, pour s’implanter sur un serveur. Les éléments recueillis par les chercheurs révèlent que les assaillants ont lancé la principale intrusion début mai 2021.

Les auteurs de l’attaque ont mis à profit les premiers mois pour effectuer des mouvements latéraux et des reconnaissances, au moyen du protocole RDP, d’un scanner réseau NMAP, de l’analyseur de réseau Advanced Port Scanner et de l’outil de création de tunnel SSH Plink Secure Shell, afin d’établir une connexion interactive avec le serveur attaqué. Ils ont également utilisé mimikatz dans le but de collecter des identifiants de comptes pouvant servir lors des phases ultérieures de l’attaque.

Selon les chercheurs de Sophos, le 20 octobre 2021, les attaquants ont employé l’outil légitime WinRAR afin de compresser un ensemble de fichiers et de les exfiltrer via RDP.

Lancement du ransomware

Le premier déploiement du ransomware date du 23 octobre 2021. Les chercheurs de Sophos ont découvert que les auteurs de l’attaque ont au départ tenté de chiffrer directement les fichiers mais qu’ils ont été mis en échec par des mesures de sécurité. Les assaillants ont alors changé leur fusil d’épaule et revu les outils du ransomware avant de le redéployer. Ils ont copié des fichiers non chiffrés dans des archives protégées par mot de passe à l’aide d’une version gratuite et rebaptisée de WinRaR, puis chiffré le mot de passe et supprimé les fichiers originaux.

Les auteurs de l’attaque ont exigé une rançon de 1 million de dollars en bitcoin en échange de la restauration des fichiers. Heureusement, la victime a pu récupérer ses données sans céder à leur chantage.

Des portes ouvertes pour une attaque de l’extérieur

Une fois les auteurs de l’attaque Memento infiltrés dans le réseau cible, deux assaillants différents ont franchi le même point d’accès vulnérable, en exploitant des failles similaires. Ceux-ci ont déposé des mineurs de cryptomonnaie sur le même serveur infecté. L’un d’entre eux a installé un cryptomineur XMR le 18 mai et l’autre un cryptomineur XMRig le 8 septembre puis à nouveau le 3 octobre.

« Nous avons observé ce scénario à plusieurs reprises : lorsque des vulnérabilités ouvertes sur Internet sont rendues publiques sans être corrigées, des attaques multiples ne vont pas tarder à les exploiter. Plus longtemps les failles ne sont pas colmatées, plus elles attirent les cybercriminels », souligne Sean Gallagher. « Les cybercriminels écument continuellement Internet à la recherche de points d’entrée vulnérables et ils ne perdent pas de temps lorsqu’ils en trouvent un. Des attaques parallèles démultiplient les dommages et allongent d’autant le délai de récupération pour les victimes. Elles rendent également plus difficiles les investigations pour savoir qui a fait quoi, une information essentielle pour les équipes de réponse aux menaces, qui aidera les entreprises à prévenir une récidive des attaques. »

Pour en savoir plus, lisez l’article consacré au ransomware Memento sur SophosLabs Uncut.

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.