【资讯】新的Memento​勒索软件在加密失败后切换到 WinRar

一个名为 Memento 的新勒索软件组织采取了一种不同寻常的方法，在安全软件不断检测到他们的加密方法后，将文件锁定在有密码保护的档案库中。

上个月，该组织开始利用 VMware vCenter Server 网络客户端的漏洞进入受害者的网络。

vCenter 漏洞被追踪为“ CVE-2021-21971”，是一个未经身份验证的远程代码执行错误，严重性等级为9.8(关键)。

这个缺陷允许任何远程访问公开的 vCenter 服务器上的 TCP/IP 端口443的人以管理员权限在底层操作系统上执行命令。

针对这个漏洞的补丁在二月份发布了，但是正如 Memento 的操作所显示的那样，许多组织还没有修补他们的安装。

自4月份以来，Memento一直在利用该漏洞，而在5月份，另一个参与者被发现利用该漏洞通过PowerShell命令安装XMR矿工。

上个月，Memento 启动了他们的勒索软件操作，开始 vCenter 从目标服务器提取管理凭证，通过计划任务建立持久性，然后通过 SSH 使用 RDP 在网络中横向传播。

在侦察阶段之后，演员们使用 WinRAR 创建被盗文件的归档并将其转移出去。

Memento attack flow 记忆碎片攻击流

最后，他们使用 Jetico 的 BCWipe 数据擦除工具来删除留下的任何痕迹，然后使用基于 python 的勒索软件对 AES 进行加密。

然而，Memento的原始尝试加密文件，因为系统有反勒索软件保护，导致加密步骤被检测到，并在任何损害之前停止。

为了克服安全软件对商品勒索软件的检测，记忆碎片想出了一个有趣的策略——完全跳过加密，将文件移动到有密码保护的档案室。

为此，该组现在将文件移动到 WinRAR 存档中，设置一个用于访问保护的 srong 密码，加密该密钥，并最终删除原始文件。

“现在，“ crypt”代码不再对文件进行加密，而是将未加密的文件放入归档文件，使用 WinRAR 的副本，将每个文件保存在自己的归档文件中，并使用。Vaultz 文件扩展名,”Sophos 分析师 Sean Gallagher 解释道。

“每个文件归档时都会生成密码，然后对密码本身进行加密。“

被丢弃的勒索信要求受害者支付15.95 BTC (940,000美元)以获得完全恢复，或者每个文件支付0.099 BTC (5,850美元)。

备忘录勒索信

在 Sophos 调查的案件中，这些敲诈行为并没有导致赎金的支付，因为受害者用他们的备份来恢复文件。

然而，Memento是一个新的小组，刚刚发现一种非典型的方法，所以他们可能会尝试与其他组织。

因此，如果您正在使用 VMware vCenter Server 或 Cloud Foundation，请确保将您的工具更新为最新的可用版本，以解决已知的漏洞。