Операторы вымогателя Memento архивируют файлы после провальной попытки шифрования

Операторы вымогателя Memento архивируют файлы после провальной попытки шифрования

Группировка перемещает файлы в WinRAR-архивы, устанавливает неверный пароль, шифрует этот ключ и удаляет исходные файлы.

image

Новая вымогательская группировка под названием Memento применяет необычный подход к блокировке файлов в архивах, защищенных паролем, после того, как их метод шифрования обнаруживается антивирусным ПО.

Операторы вымогателя эксплуатируют уязвимость (CVE-2021-21971) в web-клиенте VMware vCenter Server для первоначального доступа к сетям жертв. Проблема представляет собой уязвимость удаленного выполнения кода без проверки подлинности и получила оценку в 9,8 балла по шкале CVSS. Эксплуатация проблемы позволяет любому атакующему с удаленным доступом к TCP/IP-порту 443 на открытом сервере vCenter выполнять команды на базовой ОС с правами администратора.

Патч для данной уязвимости был выпущен в феврале нынешнего года, однако многие компании не исправили свои системы.

Операторы Memento начали атаки в прошлом месяце, эксплуатируя уязвимость в vCenter для хищения административных учетных данных, обеспечения персистентности с помощью запланированных задач, а затем использования RDP через SSH для перемещения по сети. После этапа разведки преступники использовали WinRAR для создания архива украденных файлов и его хищения. Наконец, они использовали утилиту очистки данных BCWipe от Jetico для удаления любых оставленных следов, а затем использовали вариант вымогателя на основе Python для AES-шифрования.

Первоначальные попытки Memento зашифровывать файлы проваливались, поскольку системы имели защиту от программ-вымогателей. В связи с этим операторы вымогателя придумали интересную тактику — полностью отказаться от шифрования и переместить файлы в архивы, защищенные паролем. Теперь группировка перемещает файлы в WinRAR-архивы, устанавливает неверный пароль для защиты доступа, шифрует этот ключ и удаляет исходные файлы.

Вымогатели требовали выкуп в размере 15,95 биткойнов (около $940 тыс.) за полное восстановление данных или 0,099 биткойна (примерно $5850) за файл.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!