Memento라는 새로운 랜섬웨어 그룹은 암호화 방법이 보안 소프트웨어에 의해 계속 탐지된 후 암호로 보호된 아카이브 내부의 파일을 잠그는 특이한 접근 방식을 취한다.
지난 달, 이 그룹은 피해자의 네트워크에 대한 초기 액세스를 위해 VMware vCenter Server 웹 클라이언트 결함을 악용하기 시작하면서 활성화되었다.
vCenter 취약성은 'CVE-2021-21971'로 추적되며 9.8(심각) 심각도 등급의 인증되지 않은 원격 코드 실행 버그이다.
이 결함으로 인해 노출된 vCenter 서버의 TCP/IP 포트 443에 원격으로 액세스할 수 있는 사람은 누구나 관리자 권한으로 기본 OS에서 명령을 실행할 수 있도록 허용한다.
이 결함에 대한 패치가 2월에 나왔지만 Memento의 운영에서 알 수 있듯이 많은 조직에서 설치를 패치하지 않고 있다.
이 취약점은 지난 4월부터 Memento에 의해 악용되었으며, 5월에는 PowerShell 명령을 통해 XMR 채굴기를 설치하기 위해 이를 악용하는 다른 행위자가 발견되었다.
Memento는 지난 달 vCenter를 시작하여 대상 서버에서 관리 자격 증명을 추출하고 예약된 작업을 통해 지속성을 설정한 다음 SSH를 통해 RDP를 사용하여 네트워크 내에서 널리 확산하기 위해 랜섬웨어 운영을 시작했다.
정찰 단계 후 공격자들은 WinRAR을 사용하여 도난당한 파일의 아카이브를 만들고 유출시켰다.
[그림 1. Memento 공격 흐름]
마지막으로, 그들은 Jetico의 BCWipe 데이터 삭제 유틸리티를 사용하여 남겨진 흔적을 삭제한 다음, AES 암호화에 Python 기반의 랜섬웨어 변형을 사용했다.
그러나 Memento의 원래 암호화된 파일들에 대한 시도는 시스템에 안티 랜섬웨어 보호 기능이 있었기 때문에 손상이 발생하기 전에 암호화 단계가 감지되고 중지되었다.
보안 소프트웨어에 의한 상용 랜섬웨어 탐지를 극복하기 위해 Memento는 암호화를 모두 건너뛰고 암호로 보호된 보관소로 파일을 옮기는 흥미로운 전술을 고안했다.
이를 위해 이 그룹은 이제 파일을 WinRAR 아카이브로 이동하고, 액세스 보호를 위한 강력한 암호를 설정하고, 해당 키를 암호화하고, 마지막으로 원본 파일을 삭제한다.
Sophos 분석가는 "파일을 암호화하는 대신 'crypt' 코드가 WinRAR 사본을 사용하여 암호화되지 않은 형식의 파일을 아카이브 파일에 넣고 각 파일을 .vaultz 파일 확장자로 자체 아카이브에 저장하여 파일이 보관되면서, 각 파일에 대해 암호가 생성된 다음 암호 자체가 암호화된다"고 설명한다.
배포된 랜섬웨어는 피해자에게 완전한 복구를 위해 15.95 BTC(94만 달러) 또는 파일당 0.099 BTC(5850달러)를 지불할 것을 요구하고 있다.
.png)
[그림 2. Memento 랜섬노트]
Sophos가 조사한 사례에서 피해자가 백업을 사용하여 파일을 복원했기 때문에 이러한 갈취 시도는 몸값 지불로 이어지지 않았다.
그러나 Memento는 이제 막 효과가 있는 비정형적인 접근법을 발견한 새로운 그룹이기 때문에, 그들은 다른 조직들을 상대로 그것을 시도할 가능성이 높다.
따라서 VMware vCenter Server 및/또는 Cloud Foundation을 사용하는 경우 알려진 취약성을 해결하기 위해 도구를 사용 가능한 최신 버전으로 업데이트해야 한다.
출처
https://www.bleepingcomputer.com/news/security/new-memento-ransomware-switches-to-winrar-after-failing-at-encryption/
