Memento Ransomware

Memento Ransomware - относительно новый злоумышленник на рынке программ-вымогателей. Группа появилась в октябре 2021 года, когда она начала нацеливаться на уязвимых веб-клиентов VMware vCenter Server. В качестве исходного вектора заражения хакеры использовали критическую уязвимость vCenter, обозначенную как CVE-2021-21971, которая позволяла выполнять удаленные команды, влияющие на ОС взломанной машины. Патч, устраняющий этот конкретный эксплойт, был выпущен еще в феврале, но, как показала операция атаки Memento, существует множество организаций, которые не применили патч безопасности и все еще находятся под угрозой.

Детали атаки

Получив доступ к сети жертвы, злоумышленник инициировал этап разведки. Это включало получение учетных данных администратора с сервера, создание механизма сохранения с помощью запланированных задач и продвижение по сети с использованием RDP (протокол удаленного рабочего стола) по протоколу сетевой связи SSH. Все полученные данные будут заархивированы с помощью WinRAR, а затем удалены.

Чтобы стереть следы своей деятельности, хакеры Memento использовали утилиту Jetico BCWipe. На последнем этапе злоумышленники развернули программу-вымогатель на основе Python, которая шифрует файлы с помощью криптографического алгоритма AES. Однако здесь злоумышленники сталкиваются с серьезной проблемой, поскольку решения безопасности обнаруживают процесс шифрования и блокируют его от причинения какого-либо ущерба.

Удвоение WinRAR

Киберпреступники Memento не сдались и вместо этого перешли к использованию инновационного обходного пути. Хакеры сбросили весь код шифрования и вместо этого переработали его, чтобы теперь взять файлы жертвы, добавить каждый из них в отдельный архив WinRAR с расширением «.vaultz» и заблокировать его с помощью достаточно надежного пароля. Пароли генерируются для каждого файла по мере его архивирования, а затем шифруются. Исходные файлы вне архивов WinRAR удаляются.

Согласно запискам о выкупе, созданным в скомпрометированных системах, хакеры Memento хотят получить в общей сложности 15,95 BTC (биткойн) за разблокировку всех затронутых файлов или 0,099 BTC для каждого файла. По текущему обменному курсу криптовалюты Биткойн требуемые выкупы равны 920 000 и 5700 долларов США соответственно.