Μια νέα ομάδα ransomware που ονομάζεται Memento ακολουθεί την ασυνήθιστη προσέγγιση του κλειδώματος αρχείων μέσα σε αρχεία που προστατεύονται με κωδικό πρόσβασης, αφού η μέθοδος κρυπτογράφησης εντοπίζεται συνεχώς από λογισμικό ασφαλείας.

Τον περασμένο μήνα, η ομάδα δραστηριοποιήθηκε όταν άρχισαν να εκμεταλλεύονται ένα ελάττωμα του προγράμματος-πελάτη web του διακομιστή VMware vCenter για την αρχική πρόσβαση στα δίκτυα των θυμάτων.

Η ευπάθεια vCenter παρακολουθείται ως «CVE-2021-21971» και είναι ένα σφάλμα εκτέλεσης κώδικα χωρίς έλεγχο ταυτότητας, απομακρυσμένο με βαθμολογία σοβαρότητας 9,8 (κρίσιμη).

Αυτό το ελάττωμα επιτρέπει σε οποιονδήποτε έχει απομακρυσμένη πρόσβαση στη θύρα TCP/IP 443 σε έναν εκτεθειμένο διακομιστή vCenter να εκτελεί εντολές στο υποκείμενο λειτουργικό σύστημα με δικαιώματα διαχειριστή.

Μια ενημέρωση κώδικα για αυτό το ελάττωμα κυκλοφόρησε τον Φεβρουάριο, αλλά όπως υποδεικνύεται από τη λειτουργία του Memento, πολλοί οργανισμοί δεν έχουν επιδιορθώσει τις εγκαταστάσεις τους.

Αυτή η ευπάθεια ήταν υπό εκμετάλλευση από την Memento από τον Απρίλιο, ενώ τον Μάιο, ένας διαφορετικός ransomware εντοπίστηκε να την εκμεταλλεύεται για να εγκαταστήσει XMR miners μέσω εντολών PowerShell.

Η Memento ξεκίνησε τη λειτουργία του ransomware τον περασμένο μήνα, όταν ξεκίνησαν το vCenter να εξάγει διαπιστευτήρια διαχείρισης από τον διακομιστή-στόχο, να δημιουργεί επιμονή μέσω προγραμματισμένων εργασιών και στη συνέχεια να χρησιμοποιεί RDP μέσω SSH για να εξαπλώνεται πλευρικά στο δίκτυο.

Μετά το στάδιο της αναγνώρισης, οι hacker χρησιμοποίησαν το WinRAR για να δημιουργήσουν ένα αρχείο με τα κλεμμένα αρχεία και να το εξάγουν.

Τέλος, χρησιμοποίησαν το βοηθητικό πρόγραμμα σκουπίσματος δεδομένων BCWipe της Jetico για να διαγράψουν τυχόν ίχνη που έμειναν πίσω και στη συνέχεια χρησιμοποίησαν ένα στέλεχος ransomware που βασίζεται στην Python για την κρυπτογράφηση AES.

Ωστόσο, οι  προσπάθειες του Memento για κρυπτογραφημένα αρχεία, σε συστήματα που διέθεταν προστασία κατά του ransomware, εντοπίστηκαν άμεσα  και έτσι αποτράπτηκε  το βήμα κρυπτογράφησης πριν γίνει οποιαδήποτε ζημιά.