Новая программа-вымогатель Memento переключается на WinRar после сбоя при шифровании

13
Веб-сайт правительства Великобритании о транспорте пойман за показом взрослого видео

Новая группа программ-вымогателей под названием Memento применяет необычный подход к блокировке файлов в архивах, защищенных паролем, после того, как их метод шифрования постоянно обнаруживается программным обеспечением безопасности.

В прошлом месяце группа стала активной, когда они начали использовать уязвимость веб-клиента VMware vCenter Server для первоначального доступа к сетям жертв.

Уязвимость vCenter отслеживается как « CVE-2021-21971 » и представляет собой ошибку удаленного выполнения кода без проверки подлинности с рейтингом серьезности 9,8 (критический).

Этот недостаток позволяет любому, кто имеет удаленный доступ к TCP / IP-порту 443 на открытом сервере vCenter, выполнять команды в базовой ОС с правами администратора.

Патч для этой уязвимости вышел в феврале, но, как показала работа Memento, многие организации не исправили свои установки.

Memento эксплуатирует эту уязвимость с апреля, а в мае был замечен другой субъект, использующий ее для установки майнеров XMR с помощью команд PowerShell.

Использование vCenter для развертывания программ-вымогателей

Memento запустила операцию по вымогательству в прошлом месяце, когда они запустили vCenter для извлечения административных учетных данных с целевого сервера, обеспечения устойчивости с помощью запланированных задач, а затем использования RDP через SSH для горизонтального распространения в сети.

После этапа разведки актеры использовали WinRAR для создания архива украденных файлов и его эксфильтрации.

Наконец, они использовали утилиту очистки данных BCWipe от Jetico, чтобы удалить любые оставленные следы, а затем использовали штамм вымогателя на основе Python для шифрования AES.

Однако первоначальные попытки Memento зашифровывать файлы, поскольку системы имели защиту от программ-вымогателей, вынуждали обнаруживать и останавливать этап шифрования до того, как будет нанесен какой-либо ущерб.

Обходной путь

Чтобы преодолеть обнаружение обычных программ-вымогателей программным обеспечением безопасности, Memento придумал интересную тактику — полностью отказаться от шифрования и переместить файлы в архивы, защищенные паролем.

Для этого группа теперь перемещает файлы в архивы WinRAR, устанавливает неверный пароль для защиты доступа, шифрует этот ключ и, наконец, удаляет исходные файлы.

«Вместо шифрования файлов код« crypt »теперь помещает файлы в незашифрованном виде в архивные файлы, используя копию WinRAR, сохраняя каждый файл в собственном архиве с расширением файла .vaultz», — объясняет аналитик Sophos Шон Галлахер.

«Пароли генерировались для каждого файла по мере его архивирования. Затем сами пароли были зашифрованы».

Записка о выкупе требует, чтобы жертва заплатила 15,95 BTC (940 000 долларов США) за полное восстановление или 0,099 BTC (5850 долларов США) за файл.

В случаях, расследованных Sophos, эти попытки вымогательства не привели к выплате выкупа, поскольку жертвы использовали свои резервные копии для восстановления файлов.

Однако Memento — это новая группа, которая только что нашла нетипичный подход, который работает, поэтому они, вероятно, попробуют его против других организаций.

Таким образом, если вы используете VMware vCenter Server и / или Cloud Foundation, обязательно обновите свои инструменты до последней доступной версии, чтобы устранить известные уязвимости.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here