Mémento Ransomware

Le Memento Ransomware est un acteur de menace relativement nouveau dans le paysage des ransomwares. Le groupe a émergé en octobre 2021, lorsqu'il a commencé à cibler les clients Web VMware vCenter Server vulnérables. En tant que vecteur d'infection initial, les pirates ont exploité une vulnérabilité critique de vCenter identifiée comme « CVE-2021-21971 » qui permettait d'exécuter des commandes à distance affectant le système d'exploitation de la machine violée. Un correctif concernant cet exploit particulier a été publié en février, mais comme l'opération d'attaque Memento l'a clairement démontré, de nombreuses organisations n'ont pas appliqué le correctif de sécurité et sont toujours en danger.

Détails de l'attaque

Après avoir eu accès au réseau de la victime, l'auteur de la menace a lancé une étape de reconnaissance. Cela impliquait d'obtenir des informations d'identification d'administrateur auprès du serveur, d'établir un mécanisme de persistance via des tâches planifiées et de se déplacer latéralement sur le réseau en utilisant RDP (Remote Desktop Protocol) sur le protocole de communication réseau SSH. Toutes les données obtenues seraient archivées à l'aide de WinRAR puis exfiltrées.

Pour effacer les traces de leur activité, les pirates de Memento se sont appuyés sur l'utilitaire BCWipe de Jetico. La dernière étape a vu les attaquants déployer une menace de ransomware basée sur Python qui crypte les fichiers à l'aide de l'algorithme cryptographique AES. Cependant, ici, les attaquants se heurtent à un problème majeur, car les solutions de sécurité détecteraient le processus de cryptage et l'empêcheraient de causer des dommages.

Doublement sur WinRAR

Les cybercriminels de Memento n'ont pas abandonné et ont plutôt opté pour une solution de contournement innovante. Les pirates ont supprimé l'intégralité du code de cryptage et l'ont retravaillé à la place pour prendre les fichiers de la victime, les ajouter chacun à une archive WinRAR distincte avec une extension « .vaultz » et le verrouiller avec un mot de passe suffisamment fort. Les mots de passe sont générés pour chaque fichier au fur et à mesure de son archivage et sont ensuite chiffrés. Les fichiers originaux en dehors des archives WinRAR sont supprimés.

Selon les notes de rançon générées sur les systèmes compromis, les pirates Memento veulent être payés un total de 15,95 BTC (Bitcoin) pour déverrouiller tous les fichiers concernés ou 0,099 BTC par fichier. Au taux de change actuel de la crypto-monnaie Bitcoin, les rançons demandées sont respectivement égales à 920 000 $ et 5 700 $.