Vigyázat! Ismét taktikát váltottak a netes zsarolók

A Memento zsarolóvírus egy egészen alattomos trükkel igyekszik megkerülni azokat a biztonsági megoldásokat, amelyek a titkosításra épülő zsarolások ellen védenek.
 

A fájltitkosításra épülő zsarolóvírusok rohamosan terjedésével a biztonsági cégek fejlesztői is igyekeznek lépést tartani. A dolguk azonban egyáltalán nem könnyű. Szerencsére azért már jó néhány ígéretes technológia került piacra, amik a zsarolóprogramok károkozásai ellen képesek védelmet biztosítani, illetve alkalmasak az esetlegesen bekövetkező károk helyreálltására. Ahogy azonban a védelmi megoldások fejlődnek, illetve ahogy a szervezetek, cégek egyre inkább biztonságtudatosabbá válnak (akár a biztonsági mentések tekintetében), a csalók úgy kezdenek újabb és újabb technikákat bevetni. Egyebek mellett ezért kezdték el a zsarolásokba torkoló adatszivárogtatásaikat. 

A Memento nevű zsarolóvírus mögött meghúzódó kiberbanda úgy gondolta, hogy a fájltitkosításra épülő károkozásoknak még korántsem áldozott le. Ezért egy új megközelítést kezdett alkalmazni, amivel igencsak megnehezítheti a hagyományos zsarolóvírusok ellen kifejlesztett védelmi megoldások dolgát. 

A Sophos szerint a Memento trükkjének lényege, hogy a fájlokat nem közvetlenül titkosítja, hanem azokat WinRAR segítségével becsomagolja, és jelszavas védelemmel látja el. Az így képződő fájlok .vaultz kiterjesztést kapnak. A kitömörítésüket a csalók minden egyes kompromittált állományhoz egyedileg generált, erős jelszavakkal akadályozzák meg. Ezeket a jelszavakat a fertőzés során szintén tikosítják, és ilyen módon töltik fel azokat a saját szervereikre. 

Az eddigi Memento támadások során a zsarolók 940 ezer dollárnak megfelelő váltságdíjat követeltek a tömörítéshez használt jelszavakért cserében. Emellett mindig felajánlották, hogy fájlonként is elvégzik a helyreállítást. Ekkor egy-egy állomány használhatóvá tételéért 5-6 dollárt követeltek. 

VMware alapú károkozások 

A Memento csoport idén nyáron vált különösen aktívvá. Akkor arról híresült el, hogy a VMware vCenter Server egy kritikus (CVE-2021-21971) sebezhetőségének kihasználásával okozott károkat. A hiba kihasználásával az érintett rendszereken előzetes hitelesítés nélkül, távolról válhatnak futtathatóvá tetszőleges kódok adminisztrátori jogosultsági szinten. A hibát a VMware már idén februárban megszüntette, de a frissítéseket sokan nem telepítették, ezért az elkövetők rengeteg védtelen rendszer közül válogathatnak. 

A biztonsági szakemberek a VMware által kiadott patch-ek mielőbbi alkalmazását javasolják.