Threat Database Ransomware Memento Ransomware

Memento Ransomware

Memento Ransomware е сравнително нова заплаха в пейзажа на ransomware. Групата се появи през октомври 2021 г., когато започна да се насочва към уязвими уеб клиенти на VMware vCenter Server. Като първоначален вектор на инфекция, хакерите използваха критична уязвимост vCenter, проследявана като „CVE-2021-21971“, която позволяваше да се изпълняват отдалечени команди, засягащи ОС на взломената машина. Пач, адресиращ този конкретен експлойт, беше пуснат още през февруари, но както операцията за атака на Memento ясно показа, има много организации, които не са приложили корекцията за сигурност и все още са изложени на риск.

Подробности за атаката

След като получи достъп до мрежата на жертвата, заплахата инициира етап на разузнаване. Това включваше получаване на администраторски идентификационни данни от сървъра, установяване на механизъм за постоянство чрез планирани задачи и странично придвижване през мрежата чрез използване на RDP (протокол за отдалечен работен плот) през мрежовия комуникационен протокол SSH. Всички получени данни ще бъдат архивирани с WinRAR и след това ексфилтрирани.

За да изтрият следите от своята дейност, хакерите на Memento разчитаха на помощната програма BCWipe на Jetico. Последната стъпка видя, че нападателите внедряват базирана на Python заплаха за рансъмуер, която криптира файлове с помощта на криптографския алгоритъм на AES. Тук обаче нападателите се сблъскват с голям проблем, тъй като решенията за сигурност биха открили процеса на криптиране и ще го блокират от причиняване на щети.

Удвояване на WinRAR

Киберпрестъпниците на Memento не се отказаха и вместо това преминаха към използване на иновативно решение. Хакерите изпуснаха целия код за криптиране и вместо това го преработиха, за да вземат файловете на жертвата, да добавят всеки един към отделен архив на WinRAR с разширение '.vaultz' и да го заключат с достатъчно силна парола. Паролите се генерират за всеки файл, докато се архивира и след това се криптират. Оригиналните файлове извън WinRAR архивите се изтриват.

Според бележките за откуп, генерирани на компрометираните системи, хакерите на Memento искат да бъдат платени общо 15,95 BTC (Bitcoin) за отключване на всички засегнати файлове или 0,099 BTC на база на файл. При текущия обменен курс на криптовалутата биткойн исканите откупи се равняват съответно на $920,000 и $5,700.

Тенденция

Най-гледан

Зареждане...