El ransomware usa WinRAR para bloquear los datos de las víctimas

Memento comenzó a trabajar el mes pasado. Aprovecha la vulnerabilidad del cliente web VMware vCenter Server para infiltrarse en el sistema de la víctima. Esta vulnerabilidad, cuyo nombre en código es CVE-2021-21971, tiene una calificación de 9.8, por lo que su gravedad es extremadamente alta.

CVE-2021-21971 permite que cualquier persona con acceso remoto al puerto TCP/IP 443 en un servidor vCenter abierto ejecute comandos en un sistema operativo básico con privilegios de administrador.

El parche para CVE-2021-21971 se lanzó en febrero de 2021. Sin embargo, según las actividades de Memento, se puede ver que muchas organizaciones y empresas no han actualizado el parche.

Figura 1 ransomware usa WinRAR para bloquear los datos de la víctima

Memento ha estado usando CVE-2021-21971 desde abril. En mayo apareció otro peligroso que aprovechó esta vulnerabilidad para instalar una herramienta para extraer moneda virtual XMR usando el comando PowerShell.

Después de ingresar a el ordenador de la víctima, Memento usó WinRAR para crear un archivo de los archivos robados y recuperarlo. A continuación, utilizaron la utilidad de eliminación de datos BCWipe de Jetico para borrar todos los rastros restantes. Después de su uso, utilizan una cepa de ransomware programada en Python para cifrar AES.

Sin embargo, los intentos de Memento de cifrar los archivos fallaron porque el sistema estaba protegido por un mecanismo de ransomware. Se evitó el proceso de cifrado, por lo que no hizo daño.

En lo duro está la sabiduría, Memento se salta la fase de cifrado de archivos. En su lugar, transfieren todos los archivos robados a un archivo protegido con contraseña.

Para hacer esto, el equipo de piratas informáticos debe mover los archivos al archivo WinRAR, establecer una contraseña segura, cifrar la contraseña y luego eliminar los archivos originales.

Memento a menudo requiere que las víctimas paguen grandes sumas de bitcoins para obtener datos de rescate. Sin embargo, según las estadísticas, las víctimas de Memento a menudo no pagan un rescate, sino que usan una copia de seguridad para restaurar archivos.

Sin embargo, Memento es un grupo nuevo, por lo que es probable que en el futuro actualicen sus técnicas de ataque o cambien el objetivo de sus ataques para que sean más efectivos.

Artículos de interés

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información