Memento Ransomware

Il Memento Ransomware è un attore di minacce relativamente nuovo nel panorama dei ransomware. Il gruppo è emerso nell'ottobre 2021, quando ha iniziato a prendere di mira i client Web VMware vCenter Server vulnerabili. Come vettore di infezione iniziale, gli hacker hanno sfruttato una vulnerabilità critica di vCenter tracciata come "CVE-2021-21971" che ha permesso di eseguire comandi remoti che interessano il sistema operativo della macchina violata. Una patch per affrontare questo particolare exploit è stata rilasciata a febbraio, ma come ha chiaramente dimostrato l'operazione di attacco Memento, ci sono molte organizzazioni che non hanno applicato la patch di sicurezza e sono ancora a rischio.

Dettagli attacco

Dopo aver ottenuto l'accesso alla rete della vittima, l'autore della minaccia ha avviato una fase di ricognizione. Si trattava di ottenere le credenziali di amministratore dal server, stabilire un meccanismo di persistenza tramite attività pianificate e spostarsi lateralmente attraverso la rete utilizzando RDP (Remote Desktop Protocol) sul protocollo di comunicazione di rete SSH. Tutti i dati ottenuti verrebbero archiviati utilizzando WinRAR e quindi esfiltrati.

Per cancellare le tracce della loro attività, gli hacker di Memento si sono affidati all'utility BCWipe di Jetico. Il passaggio finale ha visto gli aggressori distribuire una minaccia ransomware basata su Python che crittografa i file utilizzando l'algoritmo crittografico AES. Tuttavia, qui gli aggressori si imbattono in un grave problema poiché le soluzioni di sicurezza rileverebbero il processo di crittografia e impedirebbero che causi danni.

Raddoppio su WinRAR

I criminali informatici di Memento non si sono arresi e sono passati invece a utilizzare una soluzione innovativa. Gli hacker hanno abbandonato l'intero codice di crittografia e invece lo hanno rielaborato per prendere i file della vittima, aggiungerli a un archivio WinRAR separato con estensione ".vaultz" e bloccarli con una password sufficientemente forte. Le password vengono generate per ogni file man mano che viene archiviato e quindi crittografate. I file originali al di fuori degli archivi WinRAR vengono eliminati.

Secondo le note di riscatto generate sui sistemi compromessi, gli hacker di Memento vogliono essere pagati per un totale di 15,95 BTC (Bitcoin) per sbloccare tutti i file interessati o 0,099 BTC per file. Al cambio attuale della criptovaluta Bitcoin, i riscatti richiesti sono rispettivamente pari a $ 920.000 e $ 5.700.