ソフォスは、Pythonで記述されている新しいランサムウェア「Memento」の詳細を発表した。「パスワードで保護したアーカイブでファイルをロックし、暗号化の保護を回避する新たなランサムウェア攻撃者」という調査レポートを公開。その中で標的システムのデータを暗号化できない場合、パスワードで保護したアーカイブによってファイルをロックするMementoランサムウェアの攻撃について説明している。
ソフォスの研究者は、Mementoのオペレーターが今年4月中旬にこの標的のネットワークに侵入したと考えているという。攻撃者は、VMware vSphereに存在する欠陥を利用し、サーバーに侵入。VMware vSphereは、コンピュータを仮想化してリモートから管理するために使用される。ソフォスの研究者がフォレンジック調査を実施したところ、攻撃者が5月初旬に本格的に侵入を開始したことが分かったという。
攻撃者は、侵入してから最初の数カ月間は水平移動と偵察を行い、リモートデスクトッププロトコル(RDP)、NMAPネットワークスキャナ、アドバンストポートスキャナ、Plink Secure Shell(SSH)トンネリングツールを使用して、セキュリティを侵害したサーバーとインタラクティブに接続できる環境を確立したとのこと。また、Mimikatzを使用してアカウントの認証情報を取得し、その後の攻撃に利用していたという。
ソフォスの研究者は、10月20日に攻撃者が正規のツールであるWinRARを使用して複数のファイルを圧縮し、RDP経由でファイルを外部に送信していることを特定した。
攻撃者は、10月23日にMementoランサムウェアを初めて展開。この攻撃者が最初にファイルを直接暗号化しようと試みたものの、セキュリティソリューションによって阻止されたため、攻撃者は使用するツールを変更し、ランサムウェアを再展開した。無料版のWinRARの名前を変更して使用し、暗号化されていないファイルをパスワードで保護されたアーカイブにコピーした後、パスワードを暗号化し、元のファイルを削除した。
攻撃者は、ファイルを復元するために、ビットコインで100万ドルの身代金を要求。幸いなことに、攻撃を受けたこの組織は攻撃者から情報を得ることなくデータを復旧できたという。
Mementoの攻撃者が標的とした組織のネットワークに常駐しているときに、2人の別の攻撃者が同じ脆弱なアクセスポイントから同様のエクスプロイトを使用して侵入した。これらの攻撃者はそれぞれ、セキュリティが侵害された同じサーバーにクリプトマイナーを仕掛けている。一方の攻撃者が5月18日にXMRクリプトマイナーをインストールし、もう一方の攻撃者は9月8日と10月3日にXMRigクリプトマイナーをインストールした。
今回のインシデントから、パッチが適用されていないままインターネットに接続しているサーバーが1台でもあると、複数の攻撃者に侵入されて被害が拡大することが分かったという。ソフォスでは、パッチを速やかに適用すること、そしてサードパーティー・インテグレーター、契約している開発者、サービスプロバイダーにもソフトウェアのセキュリティについて確認してもらうことの重要性が改めて浮き彫りになったと捉えている。
