Một băng nhóm ransomware mới có tên 'Money Message' đã xuất hiện, nhắm mục tiêu vào các nạn nhân trên toàn thế giới và yêu cầu khoản tiền chuộc hàng triệu đô la để không làm rò rỉ dữ liệu và phát hành bộ giải mã.
Phần mềm tống tiền mới lần đầu tiên được báo cáo bởi một nạn nhân trên diễn đàn BleepingComputer vào ngày 28 tháng 3 năm 2023, với ThreatLabz của Zscaler ngay sau khi chia sẻ thông tin trên Twitter .
Hiện tại, kẻ đe dọa đã liệt kê hai nạn nhân trên trang web tống tiền của mình, một trong số đó là một hãng hàng không châu Á với doanh thu hàng năm gần 1 tỷ USD. Ngoài ra, các tác nhân đe dọa tuyên bố đã đánh cắp tệp từ công ty và bao gồm ảnh chụp màn hình của hệ thống tệp được truy cập làm bằng chứng vi phạm.
Trang Tor của nhóm
Trong khi điều tra, BleepingComputer đã thấy bằng chứng về khả năng vi phạm Money Message trên một nhà cung cấp phần cứng máy tính nổi tiếng. Tuy nhiên, chúng tôi chưa thể xác nhận độc lập về cuộc tấn công với công ty vào thời điểm này.
Bộ mã hóa Money Message được viết bằng C++ và bao gồm một tệp cấu hình JSON nhúng xác định cách một thiết bị sẽ được mã hóa.
Tệp cấu hình này bao gồm những thư mục cần chặn mã hóa, tiện ích mở rộng nào sẽ nối thêm, dịch vụ và quy trình nào sẽ chấm dứt, liệu tính năng ghi nhật ký có được bật hay không cũng như tên miền và mật khẩu đăng nhập có thể được sử dụng để mã hóa các thiết bị khác.
Trong mẫu được phân tích bởi BleepingComputer, phần mềm tống tiền sẽ không mã hóa các tệp trong các thư mục sau:
C:\msocache,C:\$windows.~ws,C:\system volume information,C:\perflogs,C:\programdata,C:\program files (x86), C:\program files,C:\$windows.~bt,C:\windows,C:\windows.old,C:\boot]
Khi được khởi chạy, nó sẽ xóa Shadow Volume Copy bằng lệnh sau:
cmd.com /c vssadmin.exe delete shadows /all /quiet to clear shadow volume copies
Phần mềm tống tiền sau đó sẽ chấm dứt quá trình sau:
sql.exe,oracle.exe,ocssd.exe,dbsnmp.exe,synctime.exe,agntsvc.exe,isqlplussvc.exe,xfssvccon.exe,mydesktopservice.exe,ocautoupds.exe,encsvc.exe,firefox.exe,tbirdconfig.exe,mdesktopqos.exe,ocomm.exe,dbeng50.exe,sqbcoreservice.exe,excel.exe,infopath.exe,msaccess.exe,mspub.exe,onenote.exe,outlook.exe,powerpnt.exe,steam.exe,thebat.exe,thunderbird.exe,visio.exe,winword.exe,wordpad.exe,vmms.exe,vmwp.exe
Tiếp theo, ransomware tắt các dịch vụ Windows sau:
vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, vmms
Khi mã hóa tệp, nó sẽ không nối thêm bất kỳ phần mở rộng nào, nhưng điều này có thể thay đổi tùy thuộc vào nạn nhân. Theo nhà nghiên cứu bảo mật rivitna , bộ mã hóa sử dụng mã hóa ChaCha20/ECDH khi mã hóa tệp.
Bộ mã hóa tệp của Money Message
Trong quá trình thử nghiệm của chúng tôi, quá trình mã hóa tệp bằng Money Message khá chậm so với các trình mã hóa khác.
Sau khi mã hóa thiết bị, phần mềm tống tiền sẽ tạo một ghi chú đòi tiền chuộc có tên money_message.log chứa liên kết đến trang thương lượng TOR được sử dụng để thương lượng với các tác nhân đe dọa.
Phần mềm tống tiền cũng sẽ cảnh báo rằng chúng sẽ xuất bản bất kỳ dữ liệu bị đánh cắp nào trên trang web rò rỉ dữ liệu của chúng nếu không trả tiền chuộc.
Ghi chú đòi tiền chuộc
Sự xuất hiện của nhóm ransomware Money Message đưa ra một mối đe dọa bổ sung mà các tổ chức cần đề phòng.
Mặc dù bộ mã hóa mà nhóm sử dụng có vẻ không tinh vi, nhưng người ta đã xác nhận rằng hoạt động này đã đánh cắp thành công dữ liệu và mã hóa thiết bị trong các cuộc tấn công của chúng.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.