Операторы вымогателя Memento архивируют файлы после провальной попытки шифрования

Новая вымогательская группировка под названием Memento применяет необычный подход к блокировке файлов в архивах, защищенных паролем, после того, как их метод шифрования обнаруживается антивирусным ПО.

Операторы вымогателя эксплуатируют уязвимость (CVE-2021-21971) в web-клиенте VMware vCenter Server для первоначального доступа к сетям жертв. Проблема представляет собой уязвимость удаленного выполнения кода без проверки подлинности и получила оценку в 9,8 балла по шкале CVSS. Эксплуатация проблемы позволяет любому атакующему с удаленным доступом к TCP/IP-порту 443 на открытом сервере vCenter выполнять команды на базовой ОС с правами администратора.

Патч для данной уязвимости был выпущен в феврале нынешнего года, однако многие компании не исправили свои системы.

Операторы Memento начали атаки в прошлом месяце, эксплуатируя уязвимость в vCenter для хищения административных учетных данных, обеспечения персистентности с помощью запланированных задач, а затем использования RDP через SSH для перемещения по сети. После этапа разведки преступники использовали WinRAR для создания архива украденных файлов и его хищения. Наконец, они использовали утилиту очистки данных BCWipe от Jetico для удаления любых оставленных следов, а затем использовали вариант вымогателя на основе Python для AES-шифрования.

Первоначальные попытки Memento зашифровывать файлы проваливались, поскольку системы имели защиту от программ-вымогателей. В связи с этим операторы вымогателя придумали интересную тактику — полностью отказаться от шифрования и переместить файлы в архивы, защищенные паролем. Теперь группировка перемещает файлы в WinRAR-архивы, устанавливает неверный пароль для защиты доступа, шифрует этот ключ и удаляет исходные файлы.

Вымогатели требовали выкуп в размере 15,95 биткойнов (около $940 тыс.) за полное восстановление данных или 0,099 биткойна (примерно $5850) за файл.