Μια νέα ομάδα ransomware που ονομάζεται Memento, ακολουθεί την ασυνήθιστη προσέγγιση του κλειδώματος αρχείων μέσα σε άλλα αρχεία που προστατεύονται με κωδικό πρόσβασης, αφού η μέθοδος κρυπτογράφησης εντοπίζεται συνεχώς από το λογισμικό ασφαλείας.
Δείτε επίσης: Η ευπάθεια στο VMware vCenter είναι ακόμα εκμεταλλεύσιμη
Τον περασμένο μήνα, η ομάδα εντοπίστηκε όταν άρχισε να εκμεταλλεύεται ένα ελάττωμα του web client στο διακομιστή VMware vCenter για την αρχική πρόσβαση στα δίκτυα των θυμάτων.
Η ευπάθεια vCenter (CVE-2021-21971), είναι ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα χωρίς έλεγχο ταυτότητας, με βαθμολογία σοβαρότητας 9,8 (κρίσιμη).
James Webb: Ανακάλυψε μία από τις αρχαιότερες σουπερνόβα
GDPR: Πώς TikTok, Shein & Temu παίζουν με το απόρρητο μας;
Σεληνιακή Απόκρυψη: Το φεγγάρι κρύβει τον Κρόνο
Αυτό το ελάττωμα επιτρέπει σε οποιονδήποτε έχει απομακρυσμένη πρόσβαση στη θύρα TCP/IP 443 σε έναν εκτεθειμένο διακομιστή vCenter, να εκτελεί εντολές στο υποκείμενο λειτουργικό σύστημα με δικαιώματα διαχειριστή.
Μια ενημέρωση κώδικα γι’ αυτό το ελάττωμα, κυκλοφόρησε τον Φεβρουάριο, αλλά όπως υποδεικνύεται από τη λειτουργία της Memento, πολλοί οργανισμοί δεν έχουν επιδιορθώσει τις εγκαταστάσεις τους.
Αυτή η ευπάθεια ήταν υπό εκμετάλλευση από την ομάδα Memento από τον Απρίλιο, ενώ τον Μάιο, ένας διαφορετικός κακόβουλος παράγοντας εντοπίστηκε να την εκμεταλλεύεται για να εγκαταστήσει XMR miners μέσω εντολών PowerShell.
Η Memento ξεκίνησε τη λειτουργία του ransomware τον περασμένο μήνα, όταν χρησιμοποίησε το vCenter για να εξάγει διαπιστευτήρια διαχείρισης από τον διακομιστή-στόχο, να δημιουργεί επιμονή μέσω προγραμματισμένων εργασιών και στη συνέχεια να χρησιμοποιεί RDP μέσω SSH για να εξαπλώνεται πλευρικά στο δίκτυο.
Δείτε ακόμα: Ransomware – Λύτρα: Πόσα πληρώνουν τα θύματα;
Μετά το στάδιο της αναγνώρισης, οι κακόβουλοι παράγοντες χρησιμοποίησαν το WinRAR για να δημιουργήσουν ένα αρχείο με τα κλεμμένα αρχεία και να το εξάγουν.
Τέλος, χρησιμοποίησαν το βοηθητικό πρόγραμμα εκκαθάρισης δεδομένων BCWipe της Jetico, για να διαγράψουν τυχόν ίχνη που έμειναν πίσω και στη συνέχεια χρησιμοποίησαν ένα στέλεχος ransomware που βασίζεται στην Python για την κρυπτογράφηση AES.
Ωστόσο, οι αρχικές προσπάθειες του Memento για κρυπτογραφημένα αρχεία απέτυχαν, καθώς τα συστήματα διέθεταν προστασία κατά του ransomware, με αποτέλεσμα να εντοπιστεί και να σταματήσει η κρυπτογράφηση πριν γίνει οποιαδήποτε ζημιά.
Για να ξεπεράσει τον εντοπισμό από λογισμικό ασφαλείας, η Memento βρήκε μια ενδιαφέρουσα τακτική. Παράλειψε εντελώς την κρυπτογράφηση και μετακίνησε τα αρχεία σε άλλα αρχεία που προστατεύονται με κωδικό πρόσβασης.
Για να γίνει αυτό, η ομάδα μετακινεί τώρα τα αρχεία σε αρχεία WinRAR, ορίζει έναν κωδικό πρόσβασης, κρυπτογραφεί αυτό το κλειδί και τέλος διαγράφει τα αρχικά αρχεία.
«Αντί να κρυπτογραφεί αρχεία, ο κώδικας «κρυπτογράφησης» τοποθετεί τώρα τα αρχεία σε μη κρυπτογραφημένη μορφή, χρησιμοποιώντας το αντίγραφο του WinRAR, αποθηκεύοντας κάθε αρχείο μέσα σε ένα άλλο, με επέκταση αρχείου .vaultz», εξηγεί ο αναλυτής της Sophos, Sean Gallagher.
Δείτε επίσης: WinRAR: Κυκλοφόρησε η έκδοση 5.90 για Windows, Linux, Mac και c
Το σημείωμα λύτρων απαιτεί από το θύμα να πληρώσει 15,95 BTC (940.000 $) για πλήρη ανάκτηση ή 0,099 BTC (5.850 $) ανά αρχείο.
Ως εκ τούτου, εάν χρησιμοποιείτε VMware vCenter Server ή/και Cloud Foundation, φροντίστε να ενημερώσετε τα εργαλεία σας στην πιο πρόσφατη διαθέσιμη έκδοση για να επιλύσετε γνωστά τρωτά σημεία.