04/04/23
О новой программе-вымогателе впервые сообщила жертва на форумах BleepingComputer 28 марта 2023 года, а ThreatLabz Zscaler – после публикации информации в Twitter *.
В настоящее время на сайте группировки указаны 2 жертвы, одна из которых – азиатская авиакомпания с годовым доходом около $1 млрд, передает Securitylab. Злоумышленники утверждают, что украли у компании конфиденциальные файлы, и в качестве доказательства прикрепили скриншот файловой системы, к которой был получен доступ.
В ходе расследования BleepingComputer обнаружил доказательства потенциального взлома известного поставщика компьютерного оборудования. Однако на данный момент экспертам не удалось самостоятельно подтвердить атаку.
Как Money Message шифрует компьютер
Шифровальщик Money Message написан на C++ и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования устройства.
Этот файл конфигурации определяет:
- какие директории не шифровать ;
- какие файлы исключить из шифрования ;
- какое расширение добавлять (при шифровании расширение к файлам добавляется в зависимости от жертвы);
- какие службы и процессы нужно завершить;
- включено ли ведение журнала;
- имена и пароли для входа в домен (которые, вероятно, используются для шифрования других устройств).
По словам исследователя безопасности rivitna, при шифровании используется механизм ChaCha20/ECDH. Шифрование Money Message проходит медленно по сравнению с другими шифровальщиками. После шифрования устройства программа-вымогатель создаёт записку с требованием выкупа, содержащую ссылку на сайт TOR, используемый для переговоров с хакерами.
Появление группы программ-вымогателей Money Message представляет собой дополнительную угрозу, которую организации должны остерегаться. Несмотря на то, что шифратор группы прост по структуре, киберпреступники успешно крадут данные и шифруют устройства во время атак.
