Uma nova gangue de ransomware chamada "Money Message" apareceu, visando vítimas em todo o mundo e exigindo resgates de milhões de dólares para não vazar dados e liberar um decodificador.
O novo ransomware foi relatado pela primeira vez por uma vítima nos fóruns do BleepingComputer em 28 de março de 2023, com o ThreatLabz da Zscaler compartilhando informações no Twitter logo em seguida.
Atualmente, o grupo ameaça dois alvos em seu site de extorsão, um dos quais é uma companhia aérea asiática com receita anual próxima a US$ 1 bilhão.
Além disso, os criminosos afirmam ter roubado arquivos da empresa e incluem uma captura de tela do sistema de arquivos acessado como prova do ataque.
Durante a investigação, o BleepingComputer viu indícios de um possível ataque do Money Message em um conhecido fornecedor de hardware de computador.
No entanto, ainda não foi possível confirmar independentemente o ataque com a empresa neste momento.
O criptografador do Money Message é escrito em C++ e inclui um arquivo de configuração JSON embutido que determina como um dispositivo será criptografado.
Este arquivo de configuração inclui quais pastas bloquear para criptografia, qual extensão anexar, quais serviços e processos terminar, se o registro está habilitado e nomes de domínio e senhas de login provavelmente usados para criptografar outros dispositivos.
Na amostra analisada pelo BleepingComputer, o ransomware não criptografará arquivos nas seguintes pastas.
Quando lançado, ele excluirá as cópias de volume de sombra usando o seguinte comando.
O ransomware, então, encerrará o seguinte processo.
Em seguida, o ransomware desligará os seguintes serviços do Windows.
Ao criptografar arquivos, ele não anexará nenhuma extensão, mas isso pode mudar dependendo da vítima.
De acordo com o pesquisador de segurança rivitna, o criptografador usa a criptografia ChaCha20/ECDH ao criptografar arquivos.
Os únicos arquivos excluídos da criptografia por padrão são os seguintes.
Durante nossos testes, a criptografia dos arquivos pelo Money Message foi bastante lenta em comparação com outros criptografadores.
Depois de criptografar o dispositivo, o ransomware criará uma nota de resgate chamada "money_message.log" que contém um link para um site de negociação TOR usado para negociar com os criminosos.
O ransomware também alertará que publicará quaisquer dados roubados em seu site de vazamento de dados se o resgate não for pago.
O surgimento do grupo de ransomware Money Message apresenta uma ameaça adicional que as organizações precisam ficar atentas.
Embora o criptografador usado pelo grupo não pareça sofisticado, foi confirmado que a operação está roubando dados e criptografando dispositivos com sucesso durante seus ataques.
Especialistas analisarão o ransomware e, se uma fraqueza na criptografia for encontrada, atualizaremos esta postagem.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...