Memento Ransomware

Memento Ransomware 是勒索軟件領域中一個相對較新的威脅參與者。該組織於 2021 年 10 月出現，當時它開始針對易受攻擊的 VMware vCenter Server Web 客戶端。作為初始感染媒介，黑客利用了一個名為“CVE-2021-21971”的關鍵 vCenter 漏洞，該漏洞允許執行影響受攻擊機器操作系統的遠程命令。解決此特定漏洞的補丁已於 2 月份發布，但正如 Memento 攻擊行動清楚表明的那樣，有許多組織尚未應用安全補丁並且仍處於風險之中。

攻擊詳情

在獲得對受害者網絡的訪問權限後，威脅行為者啟動了偵察階段。它涉及從服務器獲取管理員憑據，通過計劃任務建立持久性機制，以及通過 SSH 網絡通信協議使用 RDP（遠程桌面協議）在網絡中橫向移動。所有獲得的數據都將使用 WinRAR 進行存檔，然後被洩露。

為了清除他們活動的痕跡，Memento 黑客依賴於 Jetico 的 BCWipe 實用程序。最後一步是攻擊者部署了一個基於 Python 的勒索軟件威脅，該威脅使用 AES 加密算法加密文件。然而，在這裡攻擊者遇到了一個主要問題，因為安全解決方案會檢測加密過程並阻止它造成任何損害。

在 WinRAR 上加倍

Memento 網絡犯罪分子並沒有放棄，而是轉而使用創新的解決方法。黑客放棄了整個加密代碼，而是對其進行了重新設計，現在獲取受害者的文件，將每個文件添加到帶有“.vaultz”擴展名的單獨的 WinRAR 存檔中，並使用足夠強的密碼將其鎖定。每個文件在歸檔時都會生成密碼，然後進行加密。 WinRAR 壓縮文件之外的原始文件被刪除。

根據在受感染系統上生成的贖金票據，Memento 黑客希望獲得總共 15.95 BTC（比特幣）以解鎖所有受影響的文件，或者每個文件獲得 0.099 BTC。按照比特幣加密貨幣的當前匯率，要求的贖金分別為 920,000 美元和 5,700 美元。