Ransomware do grupo "New Money Message" exige resgates de milhões de dólares
3 de Abril de 2023

Uma nova gangue de ransomware chamada "Money Message" apareceu, visando vítimas em todo o mundo e exigindo resgates de milhões de dólares para não vazar dados e liberar um decodificador.

O novo ransomware foi relatado pela primeira vez por uma vítima nos fóruns do BleepingComputer em 28 de março de 2023, com o ThreatLabz da Zscaler compartilhando informações no Twitter logo em seguida.

Atualmente, o grupo ameaça dois alvos em seu site de extorsão, um dos quais é uma companhia aérea asiática com receita anual próxima a US$ 1 bilhão.

Além disso, os criminosos afirmam ter roubado arquivos da empresa e incluem uma captura de tela do sistema de arquivos acessado como prova do ataque.

Durante a investigação, o BleepingComputer viu indícios de um possível ataque do Money Message em um conhecido fornecedor de hardware de computador.

No entanto, ainda não foi possível confirmar independentemente o ataque com a empresa neste momento.

O criptografador do Money Message é escrito em C++ e inclui um arquivo de configuração JSON embutido que determina como um dispositivo será criptografado.

Este arquivo de configuração inclui quais pastas bloquear para criptografia, qual extensão anexar, quais serviços e processos terminar, se o registro está habilitado e nomes de domínio e senhas de login provavelmente usados para criptografar outros dispositivos.

Na amostra analisada pelo BleepingComputer, o ransomware não criptografará arquivos nas seguintes pastas.

Quando lançado, ele excluirá as cópias de volume de sombra usando o seguinte comando.

O ransomware, então, encerrará o seguinte processo.

Em seguida, o ransomware desligará os seguintes serviços do Windows.

Ao criptografar arquivos, ele não anexará nenhuma extensão, mas isso pode mudar dependendo da vítima.

De acordo com o pesquisador de segurança rivitna, o criptografador usa a criptografia ChaCha20/ECDH ao criptografar arquivos.

Os únicos arquivos excluídos da criptografia por padrão são os seguintes.

Durante nossos testes, a criptografia dos arquivos pelo Money Message foi bastante lenta em comparação com outros criptografadores.

Depois de criptografar o dispositivo, o ransomware criará uma nota de resgate chamada "money_message.log" que contém um link para um site de negociação TOR usado para negociar com os criminosos.

O ransomware também alertará que publicará quaisquer dados roubados em seu site de vazamento de dados se o resgate não for pago.

O surgimento do grupo de ransomware Money Message apresenta uma ameaça adicional que as organizações precisam ficar atentas.

Embora o criptografador usado pelo grupo não pareça sofisticado, foi confirmado que a operação está roubando dados e criptografando dispositivos com sucesso durante seus ataques.

Especialistas analisarão o ransomware e, se uma fraqueza na criptografia for encontrada, atualizaremos esta postagem.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...