Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Операторы вымогателя Memento архивируют файлы после провальной попытки шифрования

22/11/21

hack14-Nov-22-2021-08-38-46-17-AMНовая вымогательская группировка под названием Memento применяет необычный подход к блокировке файлов в архивах, защищенных паролем, после того, как их метод шифрования обнаруживается антивирусным ПО.

Операторы вымогателя эксплуатируют уязвимость (CVE-2021-21971) в web-клиенте VMware vCenter Server для первоначального доступа к сетям жертв. Проблема представляет собой уязвимость удаленного выполнения кода без проверки подлинности и получила оценку в 9,8 балла по шкале CVSS. Эксплуатация проблемы позволяет любому атакующему с удаленным доступом к TCP/IP-порту 443 на открытом сервере vCenter выполнять команды на базовой ОС с правами администратора.

Патч для данной уязвимости был выпущен в феврале нынешнего года, однако многие компании не исправили свои системы.

Операторы Memento начали атаки в прошлом месяце, эксплуатируя уязвимость в vCenter для хищения административных учетных данных, обеспечения персистентности с помощью запланированных задач, а затем использования RDP через SSH для перемещения по сети. После этапа разведки преступники использовали WinRAR для создания архива украденных файлов и его хищения. Наконец, они использовали утилиту очистки данных BCWipe от Jetico для удаления любых оставленных следов, а затем использовали вариант вымогателя на основе Python для AES-шифрования.

Первоначальные попытки Memento зашифровывать файлы проваливались, поскольку системы имели защиту от программ-вымогателей. В связи с этим операторы вымогателя придумали интересную тактику — полностью отказаться от шифрования и переместить файлы в архивы, защищенные паролем. Теперь группировка перемещает файлы в WinRAR-архивы, устанавливает неверный пароль для защиты доступа, шифрует этот ключ и удаляет исходные файлы.

Вымогатели требовали выкуп в размере 15,95 биткойнов (около $940 тыс.) за полное восстановление данных или 0,099 биткойна (примерно $5850) за файл.

Темы:VMWareПреступленияВымогателиКиберугрозы
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...