Memento Ransomware
Memento Ransomware on suhteellisen uusi uhkatekijä ransomware-maailmassa. Ryhmä syntyi lokakuussa 2021, kun se alkoi kohdistaa haavoittuvia VMware vCenter Server -verkkoasiakkaita. Alkuperäisenä tartuntavektorina hakkerit käyttivät hyväkseen kriittistä vCenter-haavoittuvuutta, joka on jäljitetty nimellä "CVE-2021-21971", joka mahdollisti rikotun koneen käyttöjärjestelmään vaikuttavien etäkomentojen suorittamisen. Tätä hyväksikäyttöä käsittelevä korjaustiedosto julkaistiin jo helmikuussa, mutta kuten Memento-hyökkäysoperaatio on selvästi osoittanut, että monet organisaatiot eivät ole käyttäneet tietoturvakorjausta ja ovat edelleen vaarassa.
Hyökkäyksen tiedot
Päästyään uhrin verkkoon uhkatekijä aloitti tiedusteluvaiheen. Siihen sisältyi järjestelmänvalvojan tunnistetietojen hankkiminen palvelimelta, pysyvyysmekanismin luominen ajoitettujen tehtävien avulla ja sivusuunnassa liikkuminen verkon läpi käyttämällä RDP:tä (Remote Desktop Protocol) SSH-verkkoviestintäprotokollan kautta. Kaikki saadut tiedot arkistoidaan WinRARilla ja sitten suodatetaan.
Pyyhkiäkseen toimintansa jäljet Mementon hakkerit turvautuivat Jeticon BCWipe-apuohjelmaan. Viimeisessä vaiheessa hyökkääjät ottivat käyttöön Python-pohjaisen kiristysohjelmauhan, joka salaa tiedostot AES-salausalgoritmilla. Tässä hyökkääjät törmäävät kuitenkin suureen ongelmaan, koska tietoturvaratkaisut havaitsivat salausprosessin ja estävät sitä aiheuttamasta vahinkoa.
Tuplaus WinRARissa
Mementon kyberrikolliset eivät antaneet periksi, vaan siirtyivät käyttämään innovatiivista kiertotapaa. Hakkerit pudottivat koko salauskoodin ja muokkasivat sen ottamaan uhrin tiedostot, lisäämään kukin erilliseen WinRAR-arkistoon .vaultz-tunnisteella ja lukitsemaan sen riittävän vahvalla salasanalla. Salasanat luodaan jokaiselle tiedostolle, kun se arkistoidaan, ja sitten ne salataan. Alkuperäiset tiedostot WinRAR-arkistojen ulkopuolella poistetaan.
Vaarallisissa järjestelmissä luotujen lunnaita koskevien seteleiden mukaan Memento-hakkerit haluavat saada yhteensä 15,95 BTC (Bitcoin) kaikkien asianomaisten tiedostojen lukituksen avaamisesta tai 0,099 BTC tiedostokohtaisesti. Bitcoinin kryptovaluutan nykyisellä vaihtokurssilla vaaditut lunnaat ovat vastaavasti 920 000 dollaria ja 5 700 dollaria.
