Threat Database Ransomware Memento Ransomware

Memento Ransomware

Memento Ransomware er en relativt ny trusselaktør i løsepengevarelandskapet. Gruppen dukket opp i oktober 2021, da den begynte å målrette mot sårbare VMware vCenter Server-nettklienter. Som en innledende infeksjonsvektor utnyttet hackerne en kritisk vCenter-sårbarhet sporet som 'CVE-2021-21971' som tillot å utføre eksterne kommandoer som påvirker operativsystemet til den ødelagte maskinen. En oppdatering som adresserer denne spesielle utnyttelsen ble utgitt tilbake i februar, men som Memento-angrepsoperasjonen tydelig har vist er det mange organisasjoner som ikke har tatt i bruk sikkerhetsoppdateringen og fortsatt er i faresonen.

Angrepsdetaljer

Etter å ha fått tilgang til offerets nettverk, satte trusselaktøren i gang en rekognoseringsfase. Det innebar å skaffe administratorlegitimasjon fra serveren, etablere en utholdenhetsmekanisme via planlagte oppgaver og bevege seg sideveis gjennom nettverket ved å bruke RDP (Remote Desktop Protocol) over SSH-nettverkskommunikasjonsprotokollen. Alle innhentede data vil bli arkivert ved hjelp av WinRAR og deretter eksfiltrert.

For å slette sporene etter aktiviteten deres, stolte Memento-hackerne på Jeticos BCWipe-verktøy. Det siste trinnet så angriperne distribuere en Python-basert løsepengevaretrussel som krypterer filer ved hjelp av AES-krypteringsalgoritmen. Men her støter angriperne på et stort problem ettersom sikkerhetsløsninger vil oppdage krypteringsprosessen og blokkere den fra å forårsake skade.

Dobling-ned på WinRAR

Memento-nettkriminelle ga ikke opp og gikk i stedet over til å bruke en innovativ løsning. Hackerne droppet hele krypteringskoden og omarbeidet den i stedet for å nå ta offerets filer, legge hver enkelt til et eget WinRAR-arkiv med en '.vaultz'-utvidelse og låse den med et tilstrekkelig sterkt passord. Passordene genereres for hver fil etter hvert som den arkiveres og blir deretter kryptert. De originale filene utenfor WinRAR-arkivene slettes.

I følge løsepengene som er generert på de kompromitterte systemene, ønsker Memento-hackerne å få betalt totalt 15,95 BTC (Bitcoin) for å låse opp alle berørte filer eller 0,099 BTC per fil. Med gjeldende valutakurs for Bitcoin-kryptovalutaen er de krevede løsepengene lik henholdsvis $920.000 og $5.700.

Trender

Mest sett

Laster inn...