勒索軟件居然使用WinRAR“加密”數據

隨著安全軟件對勒索軟件加密方法的檢測越來越周密，一些勒索軟件紛紛開始尋求新的“加密方法”。近日，一個名為Memento的新勒索軟件組織在攻擊中采用了一種不同尋常的方法：將文件壓縮到受密碼保護的WinRAR檔案中。

上個月，Memento開始利用VMware vCenter Server Web客戶端漏洞初始訪問受害者網絡。vCenter漏洞的編號為“CVE-2021-21971”，是一個未經身份驗證的遠程代碼執行漏洞，嚴重性等級為9.8（嚴重）。

該漏洞允許任何人在暴露的vCenter服務器上遠程訪問TCP/IP端口443，以管理員權限在底層操作系統上執行命令。

雖然該漏洞的補丁已于2月發布，但Memento屢次得手表明許多組織尚未修補該漏洞。

自4月以來，Memento一直在利用此漏洞，而在5月，另一個攻擊者開始利用它通過PowerShell命令安裝XMR挖礦軟件。

Memento上個月啟動了勒索軟件操作，當時他們開始vCenter從目標服務器提取管理憑據，通過計劃任務實現駐留，然后使用RDP over SSH在網絡內橫向移動。

在偵察階段完成之后，攻擊者使用WinRAR創建被盜文件的存檔并將其泄露。攻擊流程如下：

最后，攻擊者使用Jetico的BCWipe數據擦除程序刪除攻擊痕跡，然后使用基于Python的勒索軟件進行AES加密。

然而，由于系統有反勒索軟件保護，Memento加密文件的嘗試未能成功。

為了繞過安全軟件對商品勒索軟件的檢測，Memento想出了一個“有趣”的策略，完全跳過加密步驟，直接將被盜文件添加到受密碼保護的WinRAR文檔中，對密碼進行加密后刪除原始文件。

“現在‘crypt’代碼不再加密文件，而是將未加密形式的文件直接用WinRAR生成需要密碼訪問的壓縮副本，文件擴展名為.vaultz，”Sophos分析師Sean Gallagher解釋道：“每個文件在存檔時都會生成訪問密碼，然后密碼本身被加密。”

Memento的贖金定價方式也很特別：受害者可支付15.95 BTC（94萬美元）完全恢復數據，或者每個文件支付0.099 BTC（5850美元）。