È stato scoperto un nuovo virus informatico in grado di acquisire, con dei processi semplici e molto efficaci, i nostri dati. Ma in che modo può farlo? 
Verso l’inizio di novembre, gli esperti informatici dell’azienda Sophos hanno scoperto un nuovo tipo di ransomware, diverso da tutti gli altri e scritto in linguaggio Python, capace di entrare in possesso di molte informazioni con grande facilità.
LEGGI ANCHE: Netflix e l’offerta prova: non costa nulla e poi decidi
Il tipo di attacco che usa è totalmente differente da quello di un comune virus, tant’è che è stato subito rilevato e studiato per evitare che potesse creare dei problemi seri per quanto riguarda la sicurezza delle società.
Come funziona il virus
Si chiama Memento, e sembra che possa sfruttare una vulnerabilità di VMware vCenter Server per poter entrare nelle varie reti aziendali. Sophos ha offerto molte soluzioni consumer e business per intercettare gli attacchi ransomware e proteggere i nostri dispositivi con successo.
Una tra queste è certamente Intercept X che, con la funzionalità di CryptoGuard, è in grado di bloccare i tentativi di decifrazione dei file. Un altro ancora potrebbe essere l’XDR, acronimo di Extended Direction and Response, con il quale è possibile rilevare attività sospette, come la creazione di archivi protetti da password per esempio.
Ed è proprio questa la tattica usata da Memento. Invece di tentare di decifrare i file, tende a copiarli all’interno di una cartella con dentro un accesso, usando una versione gratuita di WinRaR. In seguito, dopo essere riuscito a rubarli, li cancella dalla fonte originale.
A questo punto viene chiesto un riscatto di un milione di dollari alla vittima. Tuttavia, una azienda che si è trovata in questa spiacevole situazione, ha utilizzato i backup per evitare di pagare i pirati informatici.
Come avevamo accennato in precedenza, gli hacker hanno sfruttato una vulnerabilità di VMware vCenter Server per accedere alla rete della porta TCP/IP 443. Dopodiché hanno scaricato, sulle reti, due tool per eseguire i comandi via WMI e recuperare le credenziali di login. Infine, sono riusciti ad installare altri programmi tra cui Plink SSH, NMAP, NPCAP e Mimikatz.
LEGGI ANCHE: WindTre GO 100 Star con tutto incluso a soli €7,99 al mese, cosa aspettate a cambiare operatore?
A questo punto per loro è stato molto semplice tentare di decifrare i file dopo aver compresso i documenti con WinRaR. Di conseguenza, hanno ottenuto una password generata casualmente per ogni archivio, rubando centinaia di dati importanti. Ma il loro piano è fallito poiché la compagnia era già preparata per una evenienza simile.