Ransomware do grupo "New Money Message" exige resgates de milhões de dólares
3 de Abril de 2023

Uma nova gangue de ransomware chamada "Money Message" apareceu, visando vítimas em todo o mundo e exigindo resgates de milhões de dólares para não vazar dados e liberar um decodificador.

O novo ransomware foi relatado pela primeira vez por uma vítima nos fóruns do BleepingComputer em 28 de março de 2023, com o ThreatLabz da Zscaler compartilhando informações no Twitter logo em seguida.

Atualmente, o grupo ameaça dois alvos em seu site de extorsão, um dos quais é uma companhia aérea asiática com receita anual próxima a US$ 1 bilhão.

Além disso, os criminosos afirmam ter roubado arquivos da empresa e incluem uma captura de tela do sistema de arquivos acessado como prova do ataque.

Durante a investigação, o BleepingComputer viu indícios de um possível ataque do Money Message em um conhecido fornecedor de hardware de computador.

No entanto, ainda não foi possível confirmar independentemente o ataque com a empresa neste momento.

O criptografador do Money Message é escrito em C++ e inclui um arquivo de configuração JSON embutido que determina como um dispositivo será criptografado.

Este arquivo de configuração inclui quais pastas bloquear para criptografia, qual extensão anexar, quais serviços e processos terminar, se o registro está habilitado e nomes de domínio e senhas de login provavelmente usados para criptografar outros dispositivos.

Na amostra analisada pelo BleepingComputer, o ransomware não criptografará arquivos nas seguintes pastas.

Quando lançado, ele excluirá as cópias de volume de sombra usando o seguinte comando.

O ransomware, então, encerrará o seguinte processo.

Em seguida, o ransomware desligará os seguintes serviços do Windows.

Ao criptografar arquivos, ele não anexará nenhuma extensão, mas isso pode mudar dependendo da vítima.

De acordo com o pesquisador de segurança rivitna, o criptografador usa a criptografia ChaCha20/ECDH ao criptografar arquivos.

Os únicos arquivos excluídos da criptografia por padrão são os seguintes.

Durante nossos testes, a criptografia dos arquivos pelo Money Message foi bastante lenta em comparação com outros criptografadores.

Depois de criptografar o dispositivo, o ransomware criará uma nota de resgate chamada "money_message.log" que contém um link para um site de negociação TOR usado para negociar com os criminosos.

O ransomware também alertará que publicará quaisquer dados roubados em seu site de vazamento de dados se o resgate não for pago.

O surgimento do grupo de ransomware Money Message apresenta uma ameaça adicional que as organizações precisam ficar atentas.

Embora o criptografador usado pelo grupo não pareça sofisticado, foi confirmado que a operação está roubando dados e criptografando dispositivos com sucesso durante seus ataques.

Especialistas analisarão o ransomware e, se uma fraqueza na criptografia for encontrada, atualizaremos esta postagem.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...