메멘토 랜섬웨어

Memento Ransomware는 랜섬웨어 환경에서 비교적 새로운 위협 행위자입니다. 이 그룹은 취약한 VMware vCenter Server 웹 클라이언트를 대상으로 하기 시작한 2021년 10월에 등장했습니다. 해커는 초기 감염 벡터로 'CVE-2021-21971'로 추적되는 중요한 vCenter 취약점을 악용하여 침해된 시스템의 OS에 영향을 미치는 원격 명령을 실행할 수 있었습니다. 이 특정 익스플로잇을 해결하는 패치가 2월에 다시 릴리스되었지만 Memento 공격 작업이 분명히 보여주듯이 보안 패치를 적용하지 않고 여전히 위험에 노출된 조직이 많이 있습니다.

공격 세부 정보

피해자의 네트워크에 액세스한 후 위협 행위자는 정찰 단계를 시작했습니다. 여기에는 서버에서 관리자 자격 증명을 얻고, 예약된 작업을 통해 지속성 메커니즘을 설정하고, SSH 네트워크 통신 프로토콜을 통해 RDP(원격 데스크톱 프로토콜)를 사용하여 네트워크를 통해 측면으로 이동하는 작업이 포함되었습니다. 획득한 모든 데이터는 WinRAR를 사용하여 보관된 다음 추출됩니다.

Memento 해커는 활동의 흔적을 지우기 위해 Jetico의 BCWipe 유틸리티에 의존했습니다. 마지막 단계에서는 공격자가 AES 암호화 알고리즘을 사용하여 파일을 암호화하는 Python 기반 랜섬웨어 위협을 배포하는 것을 보았습니다. 그러나 여기에서 공격자는 보안 솔루션이 암호화 프로세스를 감지하고 손상을 일으키지 않도록 차단하므로 심각한 문제에 봉착합니다.

WinRAR의 더블다운

Memento 사이버 범죄자는 포기하지 않고 대신 혁신적인 해결 방법을 사용했습니다. 해커는 전체 암호화 코드를 삭제하고 대신 재작업하여 피해자의 파일을 가져와 각각을 확장자가 '.vaultz'인 별도의 WinRAR 아카이브에 추가하고 충분히 강력한 암호로 잠급니다. 파일이 보관되고 암호화될 때 각 파일에 대해 암호가 생성됩니다. WinRAR 아카이브 외부의 원본 파일은 삭제됩니다.

손상된 시스템에서 생성된 랜섬 노트에 따르면 Memento 해커는 영향을 받는 모든 파일의 잠금을 해제하기 위해 총 15.95 BTC(비트코인) 또는 파일당 0.099 BTC를 지불하기를 원합니다. 비트코인 암호화폐의 현재 환율에서 요구되는 몸값은 각각 $920,000 및 $5,700입니다.