Memento Ransomware

Memento Ransomware रैंसमवेयर परिदृश्य पर अपेक्षाकृत नया खतरा है। समूह अक्टूबर 2021 में उभरा, जब उसने कमजोर VMware vCenter सर्वर वेब क्लाइंट को लक्षित करना शुरू किया। एक प्रारंभिक संक्रमण वेक्टर के रूप में, हैकर्स ने 'CVE-2021-21971' के रूप में ट्रैक की गई एक महत्वपूर्ण vCenter भेद्यता का फायदा उठाया, जिसने भंग मशीन के OS को प्रभावित करने वाले दूरस्थ कमांड को निष्पादित करने की अनुमति दी। इस विशेष कारनामे को संबोधित करने वाला एक पैच फरवरी में वापस जारी किया गया था, लेकिन जैसा कि मेमेंटो हमले के ऑपरेशन ने स्पष्ट रूप से प्रदर्शित किया है कि ऐसे बहुत से संगठन हैं जिन्होंने सुरक्षा पैच लागू नहीं किया है और अभी भी जोखिम में हैं।

हमले का विवरण

पीड़ित के नेटवर्क तक पहुंच प्राप्त करने के बाद, धमकी देने वाले अभिनेता ने एक टोही चरण शुरू किया। इसमें सर्वर से व्यवस्थापक क्रेडेंशियल प्राप्त करना, अनुसूचित कार्यों के माध्यम से एक दृढ़ता तंत्र स्थापित करना और एसएसएच नेटवर्क संचार प्रोटोकॉल पर आरडीपी (रिमोट डेस्कटॉप प्रोटोकॉल) का उपयोग करके नेटवर्क के माध्यम से बाद में आगे बढ़ना शामिल था। सभी प्राप्त डेटा को WinRAR का उपयोग करके संग्रहीत किया जाएगा और फिर बाहर निकाला जाएगा।

अपनी गतिविधि के निशान मिटाने के लिए, मेमेंटो हैकर्स ने जेटिको की बीसीवाइप उपयोगिता पर भरोसा किया। अंतिम चरण में हमलावरों ने एक पायथन-आधारित रैंसमवेयर खतरे को तैनात किया जो एईएस क्रिप्टोग्राफ़िक एल्गोरिथम का उपयोग करके फ़ाइलों को एन्क्रिप्ट करता है। हालांकि, यहां हमलावर एक बड़ी समस्या का सामना करते हैं क्योंकि सुरक्षा समाधान एन्क्रिप्शन प्रक्रिया का पता लगाएंगे और इसे किसी भी नुकसान से रोकेंगे।

डबलिंग-डाउन WinRAR . पर

मेमेंटो साइबर अपराधियों ने हार नहीं मानी और इसके बजाय एक अभिनव समाधान का उपयोग करने के लिए स्थानांतरित हो गए। हैकर्स ने पूरे एन्क्रिप्शन कोड को छोड़ दिया और इसके बजाय अब पीड़ित की फाइलों को लेने के लिए इसे फिर से काम किया, प्रत्येक को '.vaultz' एक्सटेंशन के साथ एक अलग WinRAR संग्रह में जोड़ें, और इसे पर्याप्त रूप से मजबूत पासवर्ड के साथ लॉक करें। प्रत्येक फ़ाइल के लिए पासवर्ड जेनरेट किए जाते हैं क्योंकि इसे संग्रहीत किया जाता है और फिर एन्क्रिप्ट किया जाता है। WinRAR संग्रह के बाहर की मूल फ़ाइलें हटा दी जाती हैं।

समझौता किए गए सिस्टम पर उत्पन्न फिरौती नोटों के अनुसार, मेमेंटो हैकर्स सभी प्रभावित फाइलों को अनलॉक करने के लिए कुल 15.95 बीटीसी (बिटकॉइन) या प्रति फ़ाइल आधार पर 0.099 बीटीसी का भुगतान करना चाहते हैं। बिटकॉइन क्रिप्टोक्यूरेंसी की वर्तमान विनिमय दर पर, मांग की गई फिरौती क्रमशः $ 920,000 और $ 5,700 के बराबर है।