Memento Ransomware

يعد Memento Ransomware فاعل تهديد جديد نسبيًا على مشهد برامج الفدية. ظهرت المجموعة في أكتوبر 2021 ، عندما بدأت في استهداف عملاء VMware vCenter Server Web الضعفاء. كمتجه أولي للعدوى ، استغل المتسللون ثغرة أمنية حرجة في vCenter تم تعقبها كـ "CVE-2021-21971" والتي سمحت بتنفيذ أوامر عن بُعد تؤثر على نظام تشغيل الجهاز الذي تم اختراقه. تم إصدار تصحيح يعالج هذا الاستغلال بالذات في فبراير ، ولكن كما أظهرت عملية هجوم Memento بوضوح أن هناك الكثير من المنظمات التي لم تطبق التصحيح الأمني ولا تزال معرضة للخطر.

تفاصيل الهجوم

بعد الوصول إلى شبكة الضحية ، بدأ الفاعل في مرحلة الاستطلاع. تضمن الحصول على بيانات اعتماد المسؤول من الخادم ، وإنشاء آلية استمرار عبر المهام المجدولة ، والتحرك أفقياً عبر الشبكة باستخدام RDP (بروتوكول سطح المكتب البعيد) عبر بروتوكول اتصالات شبكة SSH. ستتم أرشفة جميع البيانات التي تم الحصول عليها باستخدام WinRAR ثم استخراجها.

لمسح آثار نشاطهم ، اعتمد قراصنة Memento على الأداة المساعدة BCWipe من Jetico. وشهدت الخطوة الأخيرة قيام المهاجمين بنشر تهديد برنامج الفدية المستند إلى Python والذي يقوم بتشفير الملفات باستخدام خوارزمية تشفير AES. ومع ذلك ، يواجه المهاجمون هنا مشكلة كبيرة حيث ستكتشف الحلول الأمنية عملية التشفير وتمنعها من التسبب في أي ضرر.

مضاعفة لأسفل على برنامج WinRAR

لم يستسلم مجرمو الإنترنت في Memento وبدلاً من ذلك تحولوا إلى استخدام حل بديل مبتكر. أسقط المتسللون رمز التشفير بالكامل وبدلاً من ذلك أعادوا صياغته ليأخذ الآن ملفات الضحية ، ويضيف كل واحد إلى أرشيف WinRAR منفصل بامتداد ".vaultz" ، ويغلقه بكلمة مرور قوية بدرجة كافية. يتم إنشاء كلمات المرور لكل ملف حيث يتم أرشفته ثم يتم تشفيره. يتم حذف الملفات الأصلية خارج أرشيفات WinRAR.

وفقًا لملاحظات الفدية التي تم إنشاؤها على الأنظمة المخترقة ، يريد قراصنة Memento أن يحصلوا على ما مجموعه 15.95 BTC (Bitcoin) لفتح جميع الملفات المتأثرة أو 0.099 BTC على أساس كل ملف. وفقًا لسعر الصرف الحالي لعملة البيتكوين المشفرة ، فإن الفدية المطلوبة تساوي 920 ألف دولار و 5700 دولار على التوالي.