Threat Database Ransomware Memento Ransomware

Memento Ransomware

Memento Ransomware 是勒索软件领域中一个相对较新的威胁参与者。该组织于 2021 年 10 月出现,当时它开始针对易受攻击的 VMware vCenter Server Web 客户端。作为初始感染媒介,黑客利用了一个名为“CVE-2021-21971”的关键 vCenter 漏洞,该漏洞允许执行影响受攻击机器操作系统的远程命令。解决此特定漏洞的补丁已于 2 月份发布,但正如 Memento 攻击行动清楚表明的那样,有许多组织尚未应用安全补丁并且仍处于风险之中。

攻击详情

在获得对受害者网络的访问权限后,威胁行为者启动了侦察阶段。它涉及从服务器获取管理员凭据,通过计划任务建立持久性机制,以及通过 SSH 网络通信协议使用 RDP(远程桌面协议)在网络中横向移动。所有获得的数据都将使用 WinRAR 进行存档,然后被泄露。

为了清除他们活动的痕迹,Memento 黑客依赖于 Jetico 的 BCWipe 实用程序。最后一步是攻击者部署了一个基于 Python 的勒索软件威胁,该威胁使用 AES 加密算法加密文件。然而,在这里攻击者遇到了一个主要问题,因为安全解决方案会检测加密过程并阻止它造成任何损害。

在 WinRAR 上加倍

Memento 网络犯罪分子并没有放弃,而是转而使用创新的解决方法。黑客放弃了整个加密代码,而是对其进行了重新设计,现在获取受害者的文件,将每个文件添加到带有“.vaultz”扩展名的单独的 WinRAR 存档中,并使用足够强的密码将其锁定。每个文件在归档时都会生成密码,然后进行加密。 WinRAR 压缩文件之外的原始文件被删除。

根据在受感染系统上生成的赎金票据,Memento 黑客希望获得总共 15.95 BTC(比特币)以解锁所有受影响的文件,或者每个文件获得 0.099 BTC。按照比特币加密货币的当前汇率,要求的赎金分别为 920,000 美元和 5,700 美元。

趋势

最受关注

正在加载...