Ransomware khóa dữ liệu của nạn nhân bằng WinRAR

 Khi phần mềm bảo mật tiếp tục tiết lộ các phương pháp mã hóa, một ransomware có tên Memento sử dụng WinRAR để khóa dữ liệu của nạn nhân.

Memento bắt đầu hoạt động vào tháng trước. Nó sử dụng một lỗ hổng trong máy khách VMware vCenter Server Web để xâm nhập vào hệ thống của nạn nhân. Lỗ hổng này có tên mã là CVE-2021-21971, với số điểm là 9,8 và mức độ nghiêm trọng của nó là cực kỳ cao.

CVE-2021-21971 cho phép bất kỳ ai có quyền truy cập từ xa vào cổng TCP / IP 443 trên máy chủ vCenter được tiếp xúc để thực hiện các lệnh trên hệ điều hành cơ sở với các đặc quyền quản trị.

Bản vá cho CVE-2021-21971 được phát hành vào tháng 2 năm 2021. Tuy nhiên, dựa trên hoạt động của Memento, có thể thấy nhiều tổ chức, doanh nghiệp chưa cập nhật bản vá.

Ransomware khóa dữ liệu của nạn nhân bằng WinRAR

Memento bắt đầu sử dụng CVE-2021-21971 vào tháng 4. Vào tháng 5, một kẻ tấn công nguy hiểm khác đã xuất hiện sử dụng lỗ hổng này để cài đặt công cụ khai thác tiền ảo XMR thông qua các lệnh PowerShell.

Sau khi xâm nhập vào máy tính của nạn nhân, Memento đã sử dụng WinRAR để tạo một kho lưu trữ các tập tin bị đánh cắp và giải nén nó. Tiếp theo, họ sử dụng tiện ích xóa dữ liệu BCWipe của Jetico để xóa tất cả các dấu vết còn lại. Sau khi sử dụng, họ đã sử dụng ransomware được lập trình bằng Python để mã hóa AES.

Tuy nhiên, do hệ thống được bảo vệ bởi một công cụ chống ransomware, nỗ lực mã hóa tệp của Memento đã thất bại. Quá trình mã hóa đã bị chặn, vì vậy không có thiệt hại nào được gây ra.

Trước khó khăn, trí tuệ trỗi dậy, Memento đã bỏ qua bước mã hóa tập tin. Thay vào đó, họ chuyển tất cả các tệp bị đánh cắp sang các kho lưu trữ được bảo vệ bằng mật khẩu.

Để đạt được mục tiêu này, tổ chức hacker sẽ chuyển các tệp vào kho lưu trữ WinRAR, đặt mật khẩu mạnh, mã hóa mật khẩu, sau đó xóa tệp gốc.

Memento thường yêu cầu nạn nhân trả một lượng lớn Bitcoin để tống tiền dữ liệu. Tuy nhiên, theo thống kê hiện nay, các nạn nhân của Memento thường không trả tiền chuộc mà sử dụng các bản sao lưu để khôi phục tập tin.

Tuy nhiên, quà lưu niệm là một nhóm mới nên trong tương lai nhiều khả năng chúng sẽ nâng cấp phương thức tấn công hoặc thay đổi mục tiêu tấn công để hiệu quả hơn.

Bài viết liên quan: