Memento Ransomware

El Memento Ransomware es un actor de amenazas relativamente nuevo en el panorama del ransomware. El grupo surgió en octubre de 2021, cuando comenzó a apuntar a clientes web vulnerables de VMware vCenter Server. Como vector de infección inicial, los piratas informáticos explotaron una vulnerabilidad crítica de vCenter rastreada como 'CVE-2021-21971' que permitió ejecutar comandos remotos que afectaban el sistema operativo de la máquina vulnerada. Un parche que aborda este exploit en particular se lanzó en febrero, pero como la operación de ataque Memento ha demostrado claramente, hay muchas organizaciones que no han aplicado el parche de seguridad y todavía están en riesgo.

Detalles del Ataque

Después de obtener acceso a la red de la víctima, el actor de la amenaza inició una etapa de reconocimiento. Implicó obtener credenciales de administrador del servidor, establecer un mecanismo de persistencia a través de tareas programadas y moverse lateralmente a través de la red mediante el uso de RDP (Protocolo de escritorio remoto) sobre el protocolo de comunicación de red SSH. Todos los datos obtenidos se archivarían usando WinRAR y luego se filtrarían.

Para borrar los rastros de su actividad, los piratas informáticos de Memento confiaron en la utilidad BCWipe de Jetico. El paso final vio a los atacantes desplegar una amenaza de ransomware basada en Python que encripta archivos usando el algoritmo criptográfico AES. Sin embargo, aquí los atacantes se encuentran con un problema importante ya que las soluciones de seguridad detectarían el proceso de cifrado y evitarían que cause daños.

Duplicación en WinRAR

Los ciberdelincuentes de Memento no se dieron por vencidos y, en su lugar, pasaron a utilizar una solución alternativa innovadora. Los piratas informáticos eliminaron todo el código de cifrado y, en su lugar, lo modificaron para tomar ahora los archivos de la víctima, agregar cada uno a un archivo WinRAR separado con una extensión '.vaultz' y bloquearlo con una contraseña suficientemente segura. Las contraseñas se generan para cada archivo a medida que se archiva y luego se cifran. Se eliminan los archivos originales fuera de los archivos WinRAR.

Según las notas de rescate generadas en los sistemas comprometidos, los piratas informáticos de Memento quieren que se les pague un total de 15,95 BTC (Bitcoin) por desbloquear todos los archivos afectados o 0,099 BTC por archivo. Al tipo de cambio actual de la criptomoneda Bitcoin, los rescates exigidos son iguales a $ 920,000 y $ 5,700 respectivamente.