Memento Ransomware

O Memento Ransomware é um auor de ameaça relativamente novo no cenário do ransomware. O grupo surgiu em outubro de 2021, quando começou a ter como alvo clientes vulneráveis da Web do VMware vCenter Server. Como um vetor de infecção inicial, os hackers exploraram uma vulnerabilidade crítica do vCenter rastreada como 'CVE-2021-21971', que permitia executar comandos remotos que afetavam o sistema operacional da máquina violada. Um patch abordando esse exploit em particular foi lançado em fevereiro, mas como a operação de ataque do Memento demonstrou claramente, há muitas organizações que não aplicaram o patch de segurança e ainda estão em risco.

Detalhes sobre o Ataque

Depois de obter acesso à rede da vítima, o ator da ameaça iniciou uma etapa de reconhecimento. Envolveu a obtenção de credenciais de administrador do servidor, estabelecendo um mecanismo de persistência por meio de tarefas agendadas e movendo-se lateralmente pela rede usando RDP (Remote Desktop Protocol) sobre o protocolo de comunicação de rede SSH. Todos os dados obtidos seriam arquivados usando WinRAR e então exfiltrados.

Para limpar os vestígios de sua atividade, os hackers Memento confiaram no utilitário BCWipe da Jetico. A etapa final viu os invasores implantarem uma ameaça de ransomware baseada em Python que criptografa arquivos usando o algoritmo criptográfico AES. No entanto, aqui os invasores se deparam com um grande problema, pois as soluções de segurança detectariam o processo de criptografia e impediriam que ele causasse qualquer dano.

Duplicando no WinRAR

Os cibercriminosos do Memento não desistiram e, em vez disso, passaram a usar uma solução alternativa inovadora. Os hackers descartaram todo o código de criptografia e, em vez disso, o retrabalharam para agora pegar os arquivos da vítima, adicionar cada um a um arquivo WinRAR separado com uma extensão '.vaultz' e bloqueá-lo com uma senha suficientemente forte. As senhas são geradas para cada arquivo à medida que ele é arquivado e, em seguida, criptografado. Os arquivos originais fora dos arquivos WinRAR são excluídos.

De acordo com as notas de resgate geradas nos sistemas comprometidos, os hackers do Memento querem receber um total de 15,95 BTC (Bitcoin) para desbloquear todos os arquivos afetados ou 0,099 BTC por arquivo. Na taxa de câmbio atual da cripto-moeda Bitcoin, os resgates exigidos são iguais a $920.000 e $5.700, respectivamente.