Ransomware dùng WinRAR để khóa dữ liệu của nạn nhân

Do phương thức mã hóa liên tục bị lật tẩy bởi các phần mềm bảo mật, ransomware có tên Memento đã dùng WinRAR để khóa dữ liệu của nạn nhân.

Memento bắt đầu hoạt động hồi tháng trước. Nó khai thác lỗ hổng máy khách web VMware vCenter Server để xâm nhập vào hệ thống của nạn nhân. Lỗ hổng này có tên mã CVE-2021-21971 và có điểm số 9,8 nên mức độ nghiêm trọng cực kỳ cao.

CVE-2021-21971 cho phép bất kỳ ai có quyền truy cập từ xa vào cổng TCP/IP 443 trên máy chủ vCenter bị lộ đều có thể thực thi các lệnh trên hệ điều hành cơ bản với đặc quyền quản trị.

Bản vá cho CVE-2021-21971 được tung ra vào tháng 02/2021. Tuy nhiên, dựa vào hoạt động của Memento có thể thấy rằng nhiều tổ chức, doanh nghiệp đã không cập nhật bản vá.

Memento bắt đầu khai thác CVE-2021-21971 từ tháng 4. Trong tháng 5, xuất hiện thêm một tác nhân nguy hiểm khác khai thác lỗ hổng này để cài đặt công cụ đào tiền ảo XMR qua lệnh PowerShell.

Sau khi xâm nhập vào máy tính của nạn nhân, Memento sử dụng WinRAR để tạo ra một kho lưu trữ các file bị đánh cắp và tách nó ra. Tiếp theo, chúng dùng tiện ích xóa dữ liệu BCWipe của Jetico để xóa hết các dấu vết còn sót lại. Sau dùng, chúng dùng chủng ransomware lập trình bằng Python để má hóa AES.

Tuy nhiên, những nỗ lực mã hóa tập tin của Memento đã thất bại bởi hệ thống được bảo vệ bởi công cụ chống ransomware. Quá trình mã hóa đã bị ngăn chặn nên chưa gây ra bất cứ thiệt hại nào.

Trong cái khó thì ló cái khôn, Memento bỏ qua luôn bước mã hóa tập tin. Thay vào đó, chúng chuyển luôn tất cả tập tin đánh cắp được vào kho lưu trữ được bảo vệ bởi mật khẩu.

Để thực hiện điều này, nhóm hacker sẽ di chuyển các tệp vào kho lưu trữ WinRAR, đặt một mật khẩu mạnh, mã hóa mật khẩu và sau đó xóa các tệp gốc đi.

Memento thường yêu cầu nạn nhân phải trả số Bitcoint rất lớn để chuộc dữ liệu. Tuy nhiên, theo thống kê từ trước tới nay các nạn nhân của Memento thường không trả tiền chuộc mà dùng bản sao lưu để khôi phục các tệp.

Tuy nhiên, Memento là một nhóm mới nên nhiều khả năng trong tương lai chúng sẽ nâng cấp phương thức tấn công hoặc thay đổi đối tượng tấn công để có hiệu quả cao hơn.