Memento Ransomware

Memento Ransomwareは、ランサムウェアの世界で比較的新しい脅威アクターです。このグループは、脆弱なVMware vCenter ServerWebクライアントをターゲットにし始めた2021年10月に出現しました。最初の感染ベクトルとして、ハッカーは「CVE-2021-21971」として追跡された重大なvCenterの脆弱性を悪用し、侵害されたマシンのOSに影響を与えるリモートコマンドを実行できるようにしました。この特定のエクスプロイトに対処するパッチが2月にリリースされましたが、Memento攻撃操作が明確に示しているように、セキュリティパッチを適用しておらず、依然としてリスクにさらされている組織がたくさんあります。

攻撃の詳細

被害者のネットワークにアクセスした後、攻撃者は偵察段階を開始しました。これには、サーバーから管理者資格情報を取得し、スケジュールされたタスクを介して永続性メカニズムを確立し、SSHネットワーク通信プロトコルを介してRDP（リモートデスクトッププロトコル）を使用してネットワークを横方向に移動することが含まれていました。取得したすべてのデータは、WinRARを使用してアーカイブされ、その後、盗み出されます。

彼らの活動の痕跡を一掃するために、MementoハッカーはJeticoのBCWipeユーティリティに依存していました。最後のステップでは、攻撃者がAES暗号化アルゴリズムを使用してファイルを暗号化するPythonベースのランサムウェア脅威を展開しました。ただし、ここでは、セキュリティソリューションが暗号化プロセスを検出し、それが損傷を引き起こすのをブロックするため、攻撃者は大きな問題に遭遇します。

WinRARでダブリングダウン

Mementoのサイバー犯罪者はあきらめず、代わりに革新的な回避策の使用に移行しました。ハッカーは暗号化コード全体を削除し、代わりにそれを作り直して被害者のファイルを取得し、それぞれを「.vaultz」拡張子の付いた個別のWinRARアーカイブに追加し、十分に強力なパスワードでロックします。パスワードは、ファイルがアーカイブされて暗号化されるときにファイルごとに生成されます。 WinRARアーカイブ外の元のファイルは削除されます。

侵害されたシステムで生成された身代金メモによると、Mementoハッカーは、影響を受けるすべてのファイルのロックを解除するために合計15.95 BTC（ビットコイン）またはファイルごとに0.099BTCを支払われることを望んでいます。ビットコイン暗号通貨の現在の為替レートでは、要求される身代金はそれぞれ920,000ドルと5,700ドルに相当します。