随着安全软件对勒索软件加密方法的检测越来越周密,一些勒索软件纷纷开始寻求新的“加密方法”。近日,一个名为Memento的新勒索软件组织在攻击中采用了一种不同寻常的方法:将文件压缩到受密码保护的WinRAR档案中。
上个月,Memento开始利用VMware vCenter Server Web客户端漏洞初始访问受害者网络。vCenter漏洞的编号为“CVE-2021-21971”,是一个未经身份验证的远程代码执行漏洞,严重性等级为9.8(严重)。
该漏洞允许任何人在暴露的vCenter服务器上远程访问TCP/IP端口443,以管理员权限在底层操作系统上执行命令。
虽然该漏洞的补丁已于2月发布,但Memento屡次得手表明许多组织尚未修补该漏洞。
自4月以来,Memento一直在利用此漏洞,而在5月,另一个攻击者开始利用它通过PowerShell命令安装XMR挖矿软件。
Memento上个月启动了勒索软件操作,当时他们开始vCenter从目标服务器提取管理凭据,通过计划任务实现驻留,然后使用RDP over SSH在网络内横向移动。
在侦察阶段完成之后,攻击者使用WinRAR创建被盗文件的存档并将其泄露。攻击流程如下:
最后,攻击者使用Jetico的BCWipe数据擦除程序删除攻击痕迹,然后使用基于Python的勒索软件进行AES加密。
然而,由于系统有反勒索软件保护,Memento加密文件的尝试未能成功。
为了绕过安全软件对商品勒索软件的检测,Memento想出了一个“有趣”的策略,完全跳过加密步骤,直接将被盗文件添加到受密码保护的WinRAR文档中,对密码进行加密后删除原始文件。
“现在‘crypt’代码不再加密文件,而是将未加密形式的文件直接用WinRAR生成需要密码访问的压缩副本,文件扩展名为.vaultz,”Sophos分析师Sean Gallagher解释道:“每个文件在存档时都会生成访问密码,然后密码本身被加密。”
Memento的赎金定价方式也很特别:受害者可支付15.95 BTC(94万美元)完全恢复数据,或者每个文件支付0.099 BTC(5850美元)。
