Memento Ransomware

Memento Ransomware er en relativt ny trusselsaktør på ransomware-landskabet. Gruppen opstod i oktober 2021, da den begyndte at målrette mod sårbare VMware vCenter Server-webklienter. Som en indledende infektionsvektor udnyttede hackerne en kritisk vCenter-sårbarhed, der blev sporet som 'CVE-2021-21971', der gjorde det muligt at udføre fjernkommandoer, der påvirker operativsystemet på den brudte maskine. En patch, der adresserer denne særlige udnyttelse, blev frigivet tilbage i februar, men som Memento-angrebsoperationen klart har vist, er der masser af organisationer, der ikke har anvendt sikkerhedsrettelsen og stadig er i fare.

Angrebsdetaljer

Efter at have fået adgang til ofrets netværk indledte trusselsaktøren en rekognosceringsfase. Det involverede indhentning af admin-legitimationsoplysninger fra serveren, etablering af en persistensmekanisme via planlagte opgaver og bevægelse sideværts gennem netværket ved at bruge RDP (Remote Desktop Protocol) over SSH-netværkskommunikationsprotokollen. Alle opnåede data ville blive arkiveret ved hjælp af WinRAR og derefter eksfiltreret.

For at slette sporene af deres aktivitet, stolede Memento-hackerne på Jeticos BCWipe-værktøj. Det sidste trin så angriberne implementere en Python-baseret ransomware-trussel, der krypterer filer ved hjælp af AES kryptografiske algoritme. Men her løber angriberne ind i et stort problem, da sikkerhedsløsninger vil opdage krypteringsprocessen og blokere den fra at forårsage skade.

Dobling-Down på WinRAR

Memento-cyberkriminelle gav ikke op og skiftede i stedet til at bruge en innovativ løsning. Hackerne droppede hele krypteringskoden og omarbejdede den i stedet for nu at tage ofrets filer, tilføje hver enkelt til et separat WinRAR-arkiv med en '.vaultz'-udvidelse og låse den med en tilstrækkelig stærk adgangskode. Adgangskoderne genereres for hver fil, efterhånden som den arkiveres og krypteres derefter. De originale filer uden for WinRAR-arkiverne slettes.

Ifølge løsesumsedlerne, der er genereret på de kompromitterede systemer, ønsker Memento-hackerne at blive betalt i alt 15,95 BTC (Bitcoin) for at låse op for alle berørte filer eller 0,099 BTC på en per-fil-basis. Ved den nuværende valutakurs for Bitcoin-kryptovalutaen er de krævede løsesummer lig med henholdsvis $920.000 og $5.700.