Memento Ransomware
Memento Ransomware, fidye yazılımı alanında nispeten yeni bir tehdit aktörüdür. Grup, savunmasız VMware vCenter Server Web istemcilerini hedef almaya başladığında Ekim 2021'de ortaya çıktı. Bilgisayar korsanları, ilk bulaşma vektörü olarak, ihlal edilen makinenin işletim sistemini etkileyen uzaktan komutların yürütülmesine izin veren 'CVE-2021-21971' olarak izlenen kritik bir vCenter güvenlik açığından yararlandı. Bu özel istismarı ele alan bir yama Şubat ayında yayınlandı, ancak Memento saldırı operasyonu açıkça gösterdiği gibi, güvenlik yamasını uygulamamış ve hala risk altında olan çok sayıda kuruluş var.
Saldırı Detayları
Tehdit aktörü kurbanın ağına erişim sağladıktan sonra bir keşif aşaması başlattı. Sunucudan yönetici kimlik bilgilerinin alınmasını, zamanlanmış görevler aracılığıyla bir kalıcılık mekanizmasının kurulmasını ve SSH ağ iletişim protokolü üzerinden RDP (Uzak Masaüstü Protokolü) kullanılarak ağda yanal olarak hareket edilmesini içeriyordu. Elde edilen tüm veriler WinRAR kullanılarak arşivlenecek ve ardından sızdırılacaktır.
Memento korsanları, faaliyetlerinin izlerini silmek için Jetico'nun BCWipe yardımcı programına güvendiler. Son adım, saldırganların, dosyaları AES şifreleme algoritmasını kullanarak şifreleyen Python tabanlı bir fidye yazılımı tehdidi dağıttığını gördü. Ancak, güvenlik çözümleri şifreleme işlemini tespit edip herhangi bir hasara neden olmasını engelleyeceğinden, burada saldırganlar büyük bir sorunla karşılaşırlar.
WinRAR'da İkiye Katlama
Memento siber suçluları pes etmediler ve bunun yerine yenilikçi bir geçici çözüm kullanmaya başladılar. Bilgisayar korsanları tüm şifreleme kodunu attılar ve bunun yerine şimdi kurbanın dosyalarını almak, her birini '.vaultz' uzantılı ayrı bir WinRAR arşivine eklemek ve yeterince güçlü bir parola ile kilitlemek için yeniden çalıştılar. Parolalar, arşivlenirken her dosya için oluşturulur ve ardından şifrelenir. WinRAR arşivlerinin dışındaki orijinal dosyalar silinir.
Güvenliği ihlal edilmiş sistemlerde oluşturulan fidye notlarına göre, Memento bilgisayar korsanları, etkilenen tüm dosyaların kilidini açmak için toplam 15.95 BTC (Bitcoin) veya dosya başına 0.099 BTC ödemek istiyor. Bitcoin kripto para biriminin mevcut döviz kurunda, talep edilen fidyeler sırasıyla 920.000 dolar ve 5.700 dolara eşittir.
