Un nouveau groupe de ransomware appelé Memento adopte l’approche inhabituelle de verrouiller les fichiers dans des archives protégées par mot de passe après que leur méthode de cryptage ait été détectée par un logiciel de sécurité.
Le mois dernier, le groupe est devenu actif lorsqu’il a commencé à exploiter une faille du client Web VMware vCenter Server pour l’accès initial aux réseaux des victimes.
La vulnérabilité vCenter est suivie en tant que ‘CVE-2021-21971‘ et est un bug d’exécution de code à distance non authentifié avec un indice de gravité de 9,8 (critique).
Cette faille permet à toute personne ayant un accès à distance au port TCP/IP 443 sur un serveur vCenter exposé d’exécuter des commandes sur le système d’exploitation sous-jacent avec des privilèges d’administrateur.
Un correctif pour cette faille est sorti en février, mais comme l’indique l’opération de Memento, de nombreuses organisations n’ont pas corrigé leurs installations.
Cette vulnérabilité est exploitée par Memento depuis avril, tandis qu’en mai, un autre acteur a été repéré en train de l’exploiter pour installer des mineurs XMR via des commandes PowerShell.
Exploiter vCenter pour déployer un ransomware
Memento a lancé son opération de ransomware le mois dernier lorsqu’ils ont lancé vCenter pour extraire les informations d’identification administratives du serveur cible, établir la persistance via des tâches planifiées, puis utiliser RDP sur SSH pour se propager latéralement au sein du réseau.
Après la phase de reconnaissance, les acteurs ont utilisé WinRAR pour créer une archive des fichiers volés et les exfiltrer.
Source : Sophos
Enfin, ils ont utilisé l’utilitaire d’effacement des données BCWipe de Jetico pour supprimer toutes les traces laissées, puis ont utilisé une souche de ransomware basée sur Python pour le cryptage AES.
Cependant, les tentatives initiales de Memento de crypter les fichiers car les systèmes disposaient d’une protection anti-ransomware, provoquant la détection et l’arrêt de l’étape de cryptage avant que tout dommage ne soit causé.
Une solution de contournement
Pour surmonter la détection des ransomwares par les logiciels de sécurité, Memento a mis au point une tactique intéressante : ignorer complètement le cryptage et déplacer les fichiers dans des archives protégées par mot de passe.
Pour ce faire, le groupe déplace maintenant les fichiers dans les archives WinRAR, définit un mot de passe correct pour la protection d’accès, crypte cette clé et supprime enfin les fichiers d’origine.
« Au lieu de crypter les fichiers, le code « crypt » place désormais les fichiers sous forme non cryptée dans des fichiers d’archive, en utilisant la copie de WinRAR, en enregistrant chaque fichier dans sa propre archive avec une extension de fichier .vaultz. » explique L’analyste de Sophos Sean Gallagher.
« Des mots de passe ont été générés pour chaque fichier au fur et à mesure de son archivage. Ensuite, les mots de passe eux-mêmes ont été cryptés. »
La demande de rançon qui est abandonnée exige que la victime paie 15,95 BTC (940 000 $) pour une récupération complète ou 0,099 BTC (5 850 $) par fichier.
Source : Sophos
Dans les cas sur lesquels Sophos a enquêté, ces tentatives d’extorsion n’ont pas conduit à un paiement de rançon, car les victimes ont utilisé leurs sauvegardes pour restaurer les fichiers.
Cependant, Memento est un nouveau groupe qui vient de trouver une approche atypique qui fonctionne, ils vont donc probablement l’essayer contre d’autres organisations.
En tant que tel, si vous utilisez VMware vCenter Server et/ou Cloud Foundation, assurez-vous de mettre à jour vos outils vers la dernière version disponible pour résoudre les vulnérabilités connues.