Sebuah kelompok ransomware baru bernama Memento mengambil pendekatan yang tidak biasa untuk mengunci file di dalam arsip yang dilindungi kata sandi setelah metode enkripsi mereka terus terdeteksi oleh perangkat lunak keamanan.
Bulan lalu, kelompok ini menjadi aktif ketika mereka mulai mengeksploitasi cacat klien web VMware vCenter Server untuk akses awal ke jaringan korban.
Kerentanan vCenter dilacak sebagai ‘CVE-2021-21972’ dan merupakan bug eksekusi kode jarak jauh yang tidak diautistik dengan peringkat keparahan 9,8 (kritis).
Cacat ini memungkinkan siapa pun dengan akses jarak jauh ke port TCP / IP 443 pada server vCenter yang terbuka untuk menjalankan perintah pada OS yang mendasarinya dengan hak istimewa admin.
Sebuah patch untuk cacat ini keluar pada bulan Februari, tetapi seperti yang ditunjukkan oleh operasi Memento, banyak organisasi belum menambal instalasi mereka.
Kerentanan ini telah dieksploitasi oleh Memento sejak April, sementara pada bulan Mei, aktor yang berbeda terlihat mengeksploitasinya untuk menginstal penambang XMR melalui perintah PowerShell.
Memanfaatkan vCenter untuk menyebarkan ransomware
Memento meluncurkan operasi ransomware mereka bulan lalu ketika mereka memulai vCenter untuk mengekstrak kredensial administratif dari server target, membangun ketekunan melalui tugas yang dijadwalkan, dan kemudian menggunakan RDP melalui SSH untuk menyebar secara lateral di dalam jaringan.
Setelah tahap pengintaian, para aktor menggunakan WinRAR untuk membuat arsip file yang dicuri dan mengekratekannya.
Akhirnya, mereka menggunakan utilitas wiping data BCWipe Jetico untuk menghapus jejak yang tertinggal dan kemudian menggunakan strain ransomware berbasis Python untuk enkripsi AES.
Namun, upaya asli Memento pada file terenkripsi karena sistem memiliki perlindungan anti-ransomware, menyebabkan langkah enkripsi terdeteksi dan dihentikan sebelum kerusakan dilakukan.
Solusi
Untuk mengatasi deteksi ransomware komoditas oleh perangkat lunak keamanan, Memento datang dengan taktik yang menarik – lewati enkripsi sama sekali dan pindahkan file ke arsip yang dilindungi kata sandi.
Untuk melakukan ini, grup sekarang memindahkan file ke arsip WinRAR, menetapkan kata sandi srong untuk perlindungan akses, mengenkripsi kunci itu, dan akhirnya menghapus file asli.
“Alih-alih mengenkripsi file, kode “crypt” sekarang menempatkan file dalam bentuk yang tidak terenkripsi ke dalam file arsip, menggunakan salinan WinRAR, menyimpan setiap file dalam arsipnya sendiri dengan ekstensi file .vaultz,” jelas analis Sophos Sean Gallagher.
“Kata sandi dihasilkan untuk setiap file seperti yang diarsipkan. Kemudian kata sandi itu sendiri dienkripsi.”
Catatan tebusan yang dijatuhkan menuntut korban membayar 15,95 BTC ($ 940.000) untuk pemulihan lengkap atau 0,099 BTC ($ 5.850) per file.
Dalam kasus yang diselidiki Sophos, upaya pemerasan ini belum menyebabkan pembayaran tebusan, karena korban menggunakan cadangan mereka untuk memulihkan file.
Namun, Memento adalah kelompok baru yang baru saja menemukan pendekatan atipikal yang berhasil, jadi mereka mungkin akan mencobanya melawan organisasi lain.
Dengan demikian, jika Anda menggunakan VMware vCenter Server dan/ atau Cloud Foundation, pastikan untuk memperbarui alat Anda ke versi terbaru yang tersedia untuk menyelesaikan kerentanan yang diketahui.
Sumber: Bleepingcomputer
Leave a Reply