Keamanan cyber (terbuka di tab baru) peneliti telah menemukan yang baru ransomware (terbuka di tab baru) kelompok, yang setelah gagal langsung mengenkripsi (terbuka di tab baru) file korban mereka, menyalinnya ke arsip yang dilindungi kata sandi, sebelum mengenkripsi kata sandi, dan menghapus file asli.
Berbagi wawasan tentang pelaku ancaman, yang mengidentifikasi dirinya sebagai “Tim Kenang-kenangan,” Sean Gallagher dari Tim Respons Cepat MTR Sophos menulis bahwa operator menggunakan versi freeware yang diganti namanya dari yang sah kompresi file (terbuka di tab baru) kegunaan WinRAR (terbuka di tab baru).
“Ini adalah retooling oleh pelaku ransomware, yang awalnya mencoba mengenkripsi file secara langsung—tetapi dihentikan perlindungan titik akhir (terbuka di tab baru). Setelah gagal pada upaya pertama, mereka mengubah taktik, dan dikerahkan kembali, ” catatan (terbuka di tab baru) Gallagher.
Setelah mengenkripsi file, geng meminta $1 juta untuk memulihkan file, dan seperti yang biasa terjadi di antara operator ransomware, mengancam akan mengekspos data korban jika mereka menolak membayar uang tebusan.
Terpencil
Para peneliti percaya pelaku ancaman pertama kali masuk ke jaringan korban mereka dengan mengeksploitasi kelemahan dalam Klien web vCenter Server VMware (terbuka di tab baru)kadang-kadang antara April dan Mei.
Mereka kemudian menunggu hingga Oktober untuk menyebarkan ransomware mereka. Menariknya, Sophos mencatat bahwa sementara Tim Memento merenungkan tentang langkah mereka selanjutnya, setidaknya dua penyusup yang berbeda mengeksploitasi kerentanan vCenter yang sama untuk menjatuhkan cryptominers (terbuka di tab baru) ke dalam server yang disusupi.
Adapun ransomware Tim Memento itu sendiri, Gallagher mencatat bahwa itu ditulis Piton (terbuka di tab baru) 3.9 dan dikompilasi dengan PyInstaller (terbuka di tab baru). Meskipun mereka tidak dapat mendekompilasi sepenuhnya, para peneliti dapat memecahkan kode kode yang cukup untuk memahami cara kerjanya.
Selain itu, para penyerang juga mengerahkan sebuah sumber terbuka (terbuka di tab baru) Berbasis python keylogger (terbuka di tab baru) pada beberapa mesin, karena mereka bergerak secara lateral dalam jaringan dengan bantuan Desktop Jarak Jauh (terbuka di tab baru) Protokol (RDP).
Sophos menambahkan bahwa catatan tebusan penyerang mengambil inspirasi dari yang digunakan oleh REvil, dan meminta para korban untuk menghubungi melalui utusan Telegram. Semuanya sia-sia karena korban menolak untuk terlibat dengan pelaku ancaman dan memulihkan sebagian besar data mereka berkat backup (terbuka di tab baru).
Namun, Sophos menambahkan bahwa serangan itu sekali lagi menyoroti fakta bahwa pelaku ancaman selalu ingin mengeksploitasi kelemahan yang ditunjukkan oleh admin untuk tambalan (terbuka di tab baru) server mereka.
“Pada saat kompromi awal, kerentanan vCenter telah dipublikasikan selama hampir dua bulan, dan tetap dapat dieksploitasi hingga hari server dienkripsi oleh penyerang ransomware,” catat Sophos, dalam upayanya untuk menekankan pentingnya menerapkan patch keamanan tanpa penundaan.
Pastikan sistem Anda tetap aman dan diperbarui menggunakan salah satunya alat manajemen tambalan terbaik (terbuka di tab baru)
