Memento Ransomware

De Memento Ransomware is een relatief nieuwe bedreigingsacteur in het ransomware-landschap. De groep ontstond in oktober 2021, toen het zich begon te richten op kwetsbare VMware vCenter Server-webclients. Als eerste infectievector maakten de hackers gebruik van een kritieke vCenter-kwetsbaarheid die werd bijgehouden als 'CVE-2021-21971' en waarmee externe opdrachten konden worden uitgevoerd die van invloed waren op het besturingssysteem van de gehackte machine. Een patch voor deze specifieke exploit werd in februari uitgebracht, maar zoals de Memento-aanvalsoperatie duidelijk heeft aangetoond, zijn er tal van organisaties die de beveiligingspatch niet hebben toegepast en nog steeds risico lopen.

Aanvalsdetails

Na toegang te hebben gekregen tot het netwerk van het slachtoffer, startte de dreigingsactor een verkenningsfase. Het omvatte het verkrijgen van beheerdersreferenties van de server, het opzetten van een persistentiemechanisme via geplande taken en lateraal door het netwerk gaan met behulp van RDP (Remote Desktop Protocol) via het SSH-netwerkcommunicatieprotocol. Alle verkregen gegevens zouden worden gearchiveerd met WinRAR en vervolgens geëxfiltreerd.

Om de sporen van hun activiteit uit te wissen, vertrouwden de Memento-hackers op Jetico's BCWipe-hulpprogramma. In de laatste stap zetten de aanvallers een op Python gebaseerde ransomware-dreiging in die bestanden versleutelt met behulp van het AES-cryptografische algoritme. Hier stuiten de aanvallers echter op een groot probleem, aangezien beveiligingsoplossingen het coderingsproces zouden detecteren en zouden voorkomen dat het enige schade zou veroorzaken.

Verdubbeling op WinRAR

De Memento-cybercriminelen gaven niet op en schakelden in plaats daarvan over op het gebruik van een innovatieve oplossing. De hackers lieten de volledige coderingscode vallen en bewerkten deze in plaats daarvan om nu de bestanden van het slachtoffer te nemen, ze allemaal toe te voegen aan een apart WinRAR-archief met de extensie '.vaultz' en deze te vergrendelen met een voldoende sterk wachtwoord. De wachtwoorden worden gegenereerd voor elk bestand terwijl het wordt gearchiveerd en worden vervolgens gecodeerd. De originele bestanden buiten de WinRAR-archieven worden verwijderd.

Volgens de losgeldnota's die op de gecompromitteerde systemen zijn gegenereerd, willen de Memento-hackers in totaal 15,95 BTC (Bitcoin) betaald krijgen voor het ontgrendelen van alle getroffen bestanden of 0,099 BTC per bestand. Tegen de huidige wisselkoers van de Bitcoin-cryptocurrency is het geëiste losgeld respectievelijk gelijk aan $ 920.000 en $ 5.700.