ΑρχικήSecurityMemento ransomware: Αλλάζει σε WinRar μετά την αποτυχία του για κρυπτογράφηση

Memento ransomware: Αλλάζει σε WinRar μετά την αποτυχία του για κρυπτογράφηση

Μια νέα ομάδα ransomware που ονομάζεται Memento, ακολουθεί την ασυνήθιστη προσέγγιση του κλειδώματος αρχείων μέσα σε άλλα αρχεία που προστατεύονται με κωδικό πρόσβασης, αφού η μέθοδος κρυπτογράφησης εντοπίζεται συνεχώς από το λογισμικό ασφαλείας.

Memento

Δείτε επίσης: Η ευπάθεια στο VMware vCenter είναι ακόμα εκμεταλλεύσιμη

Τον περασμένο μήνα, η ομάδα εντοπίστηκε όταν άρχισε να εκμεταλλεύεται ένα ελάττωμα του web client στο διακομιστή VMware vCenter για την αρχική πρόσβαση στα δίκτυα των θυμάτων.

Η ευπάθεια vCenter (CVE-2021-21971), είναι ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα χωρίς έλεγχο ταυτότητας, με βαθμολογία σοβαρότητας 9,8 (κρίσιμη).

James Webb: Ανακάλυψε μία από τις αρχαιότερες σουπερνόβα

SecNewsTV 17 Ιανουαρίου 2025, 20:12 20:12

GDPR: Πώς TikTok, Shein & Temu παίζουν με το απόρρητο μας;

SecNewsTV 17 Ιανουαρίου 2025, 16:00 16:00

Αυτό το ελάττωμα επιτρέπει σε οποιονδήποτε έχει απομακρυσμένη πρόσβαση στη θύρα TCP/IP 443 σε έναν εκτεθειμένο διακομιστή vCenter, να εκτελεί εντολές στο υποκείμενο λειτουργικό σύστημα με δικαιώματα διαχειριστή.

Μια ενημέρωση κώδικα γι’ αυτό το ελάττωμα, κυκλοφόρησε τον Φεβρουάριο, αλλά όπως υποδεικνύεται από τη λειτουργία της Memento, πολλοί οργανισμοί δεν έχουν επιδιορθώσει τις εγκαταστάσεις τους.

Αυτή η ευπάθεια ήταν υπό εκμετάλλευση από την ομάδα Memento από τον Απρίλιο, ενώ τον Μάιο, ένας διαφορετικός κακόβουλος παράγοντας εντοπίστηκε να την εκμεταλλεύεται για να εγκαταστήσει XMR miners μέσω εντολών PowerShell.

Η Memento ξεκίνησε τη λειτουργία του ransomware τον περασμένο μήνα, όταν χρησιμοποίησε το vCenter για να εξάγει διαπιστευτήρια διαχείρισης από τον διακομιστή-στόχο, να δημιουργεί επιμονή μέσω προγραμματισμένων εργασιών και στη συνέχεια να χρησιμοποιεί RDP μέσω SSH για να εξαπλώνεται πλευρικά στο δίκτυο.

Δείτε ακόμα: Ransomware – Λύτρα: Πόσα πληρώνουν τα θύματα;

Μετά το στάδιο της αναγνώρισης, οι κακόβουλοι παράγοντες χρησιμοποίησαν το WinRAR για να δημιουργήσουν ένα αρχείο με τα κλεμμένα αρχεία και να το εξάγουν.

Τέλος, χρησιμοποίησαν το βοηθητικό πρόγραμμα εκκαθάρισης δεδομένων BCWipe της Jetico, για να διαγράψουν τυχόν ίχνη που έμειναν πίσω και στη συνέχεια χρησιμοποίησαν ένα στέλεχος ransomware που βασίζεται στην Python για την κρυπτογράφηση AES.

WinRar

Ωστόσο, οι αρχικές προσπάθειες του Memento για κρυπτογραφημένα αρχεία απέτυχαν, καθώς τα συστήματα διέθεταν προστασία κατά του ransomware, με αποτέλεσμα να εντοπιστεί και να σταματήσει η κρυπτογράφηση πριν γίνει οποιαδήποτε ζημιά.

Για να ξεπεράσει τον εντοπισμό από λογισμικό ασφαλείας, η Memento βρήκε μια ενδιαφέρουσα τακτική. Παράλειψε εντελώς την κρυπτογράφηση και μετακίνησε τα αρχεία σε άλλα αρχεία που προστατεύονται με κωδικό πρόσβασης.

Για να γίνει αυτό, η ομάδα μετακινεί τώρα τα αρχεία σε αρχεία WinRAR, ορίζει έναν κωδικό πρόσβασης, κρυπτογραφεί αυτό το κλειδί και τέλος διαγράφει τα αρχικά αρχεία.

«Αντί να κρυπτογραφεί αρχεία, ο κώδικας «κρυπτογράφησης» τοποθετεί τώρα τα αρχεία σε μη κρυπτογραφημένη μορφή, χρησιμοποιώντας το αντίγραφο του WinRAR, αποθηκεύοντας κάθε αρχείο μέσα σε ένα άλλο, με επέκταση αρχείου .vaultz», εξηγεί ο αναλυτής της Sophos, Sean Gallagher.

Δείτε επίσης: WinRAR: Κυκλοφόρησε η έκδοση 5.90 για Windows, Linux, Mac και c

Το σημείωμα λύτρων απαιτεί από το θύμα να πληρώσει 15,95 BTC (940.000 $) για πλήρη ανάκτηση ή 0,099 BTC (5.850 $) ανά αρχείο.

Ως εκ τούτου, εάν χρησιμοποιείτε VMware vCenter Server ή/και Cloud Foundation, φροντίστε να ενημερώσετε τα εργαλεία σας στην πιο πρόσφατη διαθέσιμη έκδοση για να επιλύσετε γνωστά τρωτά σημεία.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS