Money

「Money Message」という名前の新しいランサムウェア ギャングが登場し、世界中の被害者を標的にして、データを漏らさずに復号化ツールをリリースするために数百万ドルの身代金を要求しています。

新しいランサムウェアは、2023 年 3 月 28 日にフォーラムで被害者によって最初に報告され、その後すぐに Zscaler の ThreatLabz がTwitter で情報を共有しました。

現在、攻撃者は 2 人の被害者を恐喝サイトに掲載しています。そのうちの 1 人は、年間収益が 10 億ドルに近いアジアの航空会社です。さらに、攻撃者は会社からファイルを盗んだと主張し、侵害の証拠としてアクセスしたファイル システムのスクリーンショットを含めています。

グループの Tor サイト
グループの Tor サイト()

調査中に、有名なコンピュータ ハードウェア ベンダーでの潜在的なマネー メッセージ侵害の証拠を確認しました。ただし、現時点では、攻撃を会社に独自に確認することはできませんでした.

Money Message がコンピュータを暗号化する方法

マネー メッセージ エンクリプターは C++ で記述されており、デバイスの暗号化方法を決定する組み込みの JSON 構成ファイルが含まれています。

この構成ファイルには、暗号化をブロックするフォルダー、追加する拡張子、終了するサービスとプロセス、ログが有効かどうか、他のデバイスの暗号化に使用される可能性のあるドメイン ログイン名とパスワードが含まれます。

によって分析されたサンプルでは、ランサムウェアは次のフォルダー内のファイルを暗号化しません。

C:msocache,C:$windows.~ws,C:system volume information,C:perflogs,C:programdata,C:program files (x86), C:program files,C:$windows.~bt,C:windows,C:windows.old,C:boot]

起動すると、次のコマンドを使用してシャドウ ボリューム コピーを削除します。

cmd.com /c vssadmin.exe delete shadows /all /quiet to clear shadow volume copies

その後、ランサムウェアは次のプロセスを終了します。

sql.exe,oracle.exe,ocssd.exe,dbsnmp.exe,synctime.exe,agntsvc.exe,isqlplussvc.exe,xfssvccon.exe,mydesktopservice.exe,ocautoupds.exe,encsvc.exe,firefox.exe,tbirdconfig.exe,mdesktopqos.exe,ocomm.exe,dbeng50.exe,sqbcoreservice.exe,excel.exe,infopath.exe,msaccess.exe,mspub.exe,onenote.exe,outlook.exe,powerpnt.exe,steam.exe,thebat.exe,thunderbird.exe,visio.exe,winword.exe,wordpad.exe,vmms.exe,vmwp.exe

次に、ランサムウェアは次の Windows サービスをシャットダウンします。

vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, vmms

ファイルを暗号化するとき、拡張子は追加されませんが、これは被害者によって変わる可能性があります。セキュリティ研究者のrivitna 氏によると、エンクリプターはファイルを暗号化する際に ChaCha20/ECDH 暗号化を使用します。

Money Message のファイル暗号化ツール
Money Message のファイル暗号化()

デフォルトで暗号化から除外されるファイルは次のとおりです。

  • デスクトップ.ini
  • ntuser.dat
  • 親指.db
  • iconcache.db
  • ntuser.ini
  • ntldr
  • bootfont.bin
  • ntuser.dat.log
  • bootsect.bak
  • boot.ini
  • autorun.inf

テスト中、Money Message によるファイルの暗号化は、他の暗号化ツールと比較してかなり低速でした。

デバイスを暗号化した後、ランサムウェアは、脅威アクターとの交渉に使用される TOR 交渉サイトへのリンクを含むmoney_message.logという名前の身代金メモを作成します。

ランサムウェアは、身代金が支払われない場合、盗んだデータをデータ漏洩サイトに公開することも警告します。

身代金メモ
身代金メモ()

Money Message ランサムウェア グループの出現は、組織が注意する必要がある追加の脅威をもたらします。

グループが使用する暗号化ツールは高度なものではないように見えますが、攻撃中にデータを盗み出し、デバイスを暗号化することに成功していることが確認されています。

専門家がランサムウェアを分析し、暗号化の弱点が見つかった場合は、この投稿を更新します。