Memento Ransomware

Memento Ransomware to stosunkowo nowy podmiot zajmujący się zagrożeniami w krajobrazie ransomware. Grupa pojawiła się w październiku 2021 roku, kiedy zaczęła atakować podatnych na ataki klientów sieci Web VMware vCenter Server. Jako początkowy wektor infekcji hakerzy wykorzystali krytyczną lukę vCenter oznaczoną jako „CVE-2021-21971”, która umożliwiała wykonywanie zdalnych poleceń wpływających na system operacyjny naruszonej maszyny. W lutym opublikowano łatę dotyczącą tego konkretnego exploita, ale jak wyraźnie pokazała operacja Memento, istnieje wiele organizacji, które nie zastosowały tej poprawki bezpieczeństwa i nadal są zagrożone.

Szczegóły ataku

Po uzyskaniu dostępu do sieci ofiary przestępca rozpoczął etap rekonesansu. Wiązało się to z uzyskaniem danych uwierzytelniających administratora z serwera, ustanowieniem mechanizmu trwałości za pomocą zaplanowanych zadań i przechodzeniem w bok przez sieć za pomocą protokołu RDP (Remote Desktop Protocol) przez protokół komunikacji sieciowej SSH. Wszystkie uzyskane dane byłyby archiwizowane za pomocą WinRAR, a następnie eksfiltrowane.

Aby zatrzeć ślady swojej aktywności, hakerzy Memento polegali na narzędziu BCWipe firmy Jetico. Ostatnim krokiem było wdrożenie przez atakujących zagrożenia ransomware opartego na Pythonie, które szyfruje pliki za pomocą algorytmu kryptograficznego AES. Jednak w tym przypadku atakujący napotykają poważny problem, ponieważ rozwiązania bezpieczeństwa wykrywałyby proces szyfrowania i blokowałyby go przed wyrządzeniem jakichkolwiek szkód.

Podwojenie w WinRAR

Cyberprzestępcy Memento nie poddali się i zamiast tego przeszli na innowacyjne obejście. Hakerzy porzucili cały kod szyfrujący i zamiast tego przerobili go, aby teraz pobrać pliki ofiary, dodać każdy z nich do oddzielnego archiwum WinRAR z rozszerzeniem „.vaultz” i zablokować je wystarczająco silnym hasłem. Hasła są generowane dla każdego pliku podczas jego archiwizacji, a następnie są szyfrowane. Oryginalne pliki spoza archiwów WinRAR są usuwane.

Zgodnie z notatkami dotyczącymi okupu wygenerowanymi na zhakowanych systemach, hakerzy Memento chcą otrzymać łącznie 15,95 BTC (Bitcoin) za odblokowanie wszystkich dotkniętych plików lub 0,099 BTC za plik. Przy obecnym kursie kryptowaluty Bitcoin żądane okupy wynoszą odpowiednio 920 000 USD i 5 700 USD.