Licenser för flera enheter (volymrabatter)
Threat Database Ransomware Memento Ransomware

Memento Ransomware

Med Mezo år Ransomware
Översätt till:
Svenska

Memento Ransomware är en relativt ny hotaktör i ransomware-landskapet. Gruppen uppstod i oktober 2021, när den började rikta in sig på sårbara VMware vCenter Server-webbklienter. Som en initial infektionsvektor utnyttjade hackarna en kritisk vCenter-sårbarhet som spårades som 'CVE-2021-21971' som gjorde det möjligt att köra fjärrkommandon som påverkade operativsystemet för den skadade maskinen. En patch som tar itu med just denna exploatering släpptes redan i februari, men som Memento-attackoperationen tydligt har visat finns det gott om organisationer som inte har tillämpat säkerhetskorrigeringen och som fortfarande är i riskzonen.

Attackdetaljer

Efter att ha fått tillgång till offrets nätverk inledde hotaktören ett spaningsskede. Det innebar att erhålla administratörsreferenser från servern, upprätta en uthållighetsmekanism via schemalagda uppgifter och förflytta sig i sidled genom nätverket genom att använda RDP (Remote Desktop Protocol) över SSH-nätverkskommunikationsprotokollet. All erhållen data skulle arkiveras med WinRAR och sedan exfiltreras.

För att utplåna spåren av sin aktivitet, litade Memento-hackarna på Jeticos BCWipe-verktyg. I det sista steget distribuerade angriparna ett Python-baserat ransomware-hot som krypterar filer med AES-krypteringsalgoritmen. Men här stöter angriparna på ett stort problem eftersom säkerhetslösningar skulle upptäcka krypteringsprocessen och blockera den från att orsaka skada.

Fördubbling-ned på WinRAR

Memento-cyberbrottslingarna gav inte upp utan gick istället över till att använda en innovativ lösning. Hackarna tappade hela krypteringskoden och omarbetade den i stället för att nu ta offrets filer, lägga till var och en i ett separat WinRAR-arkiv med ett '.vaultz'-tillägg och låsa det med ett tillräckligt starkt lösenord. Lösenorden genereras för varje fil när den arkiveras och krypteras sedan. Originalfilerna utanför WinRAR-arkiven raderas.

Enligt lösensedlarna som genererats på de komprometterade systemen vill Memento-hackerna få betalt totalt 15,95 BTC (Bitcoin) för att låsa upp alla berörda filer eller 0,099 BTC per fil. Med den aktuella växelkursen för Bitcoins kryptovaluta är de begärda lösensummorna lika med $920 000 respektive $5 700.

Trendigt

Mest sedda

Läser in...