Memento-Ransomware

Die Memento Ransomware ist ein relativ neuer Bedrohungsakteur in der Ransomware-Landschaft. Die Gruppe entstand im Oktober 2021, als sie begann, anfällige VMware vCenter Server-Webclients ins Visier zu nehmen. Als ersten Infektionsvektor nutzten die Hacker eine kritische vCenter-Sicherheitslücke mit der Bezeichnung „CVE-2021-21971“, die es ermöglichte, Remote-Befehle auszuführen, die das Betriebssystem der angegriffenen Maschine beeinflussten. Ein Patch für diesen speziellen Exploit wurde bereits im Februar veröffentlicht, aber wie der Memento-Angriff eindeutig gezeigt hat, gibt es viele Organisationen, die den Sicherheitspatch nicht angewendet haben und immer noch gefährdet sind.

Angriffsdetails

Nachdem er sich Zugang zum Netzwerk des Opfers verschafft hatte, leitete der Bedrohungsakteur eine Aufklärungsphase ein. Es umfasste das Abrufen von Administratoranmeldeinformationen vom Server, das Einrichten eines Persistenzmechanismus über geplante Aufgaben und das seitliche Verschieben durch das Netzwerk mithilfe von RDP (Remote Desktop Protocol) über das SSH-Netzwerkkommunikationsprotokoll. Alle erhaltenen Daten würden mit WinRAR archiviert und dann exfiltriert.

Um die Spuren ihrer Aktivität zu löschen, verließen sich die Memento-Hacker auf das BCWipe-Dienstprogramm von Jetico. Im letzten Schritt setzten die Angreifer eine Python-basierte Ransomware-Bedrohung ein, die Dateien mit dem kryptografischen AES-Algorithmus verschlüsselt. Hier stoßen die Angreifer jedoch auf ein großes Problem, denn Sicherheitslösungen würden den Verschlüsselungsprozess erkennen und vor Schaden blockieren.

Verdoppelung auf WinRAR

Die Memento-Cyberkriminellen gaben nicht auf und wechselten stattdessen zu einem innovativen Workaround. Die Hacker ließen den gesamten Verschlüsselungscode fallen und überarbeiteten ihn stattdessen, um nun die Dateien des Opfers zu nehmen, jede einzelne zu einem separaten WinRAR-Archiv mit der Erweiterung „.vaultz“ hinzuzufügen und sie mit einem ausreichend starken Passwort zu sperren. Die Passwörter werden für jede Datei bei der Archivierung generiert und anschließend verschlüsselt. Die Originaldateien außerhalb der WinRAR-Archive werden gelöscht.

Laut den auf den kompromittierten Systemen generierten Lösegeldforderungen wollen die Memento-Hacker insgesamt 15,95 BTC (Bitcoin) für das Entsperren aller betroffenen Dateien oder 0,099 BTC pro Datei erhalten. Zum aktuellen Wechselkurs der Bitcoin-Kryptowährung betragen die geforderten Lösegelder 920.000 US-Dollar bzw. 5.700 US-Dollar.