‘Money Message’ adlı yeni bir fidye yazılımı çetesi ortaya çıktı ve dünya çapındaki kurbanları hedef aldı ve veri sızdırmamak ve bir şifre çözücü yayınlamamak için milyon dolarlık fidye talep etti.
Yeni fidye yazılımı ilk olarak 28 Mart 2023’te BleepingComputer forumlarında bir kurban tarafından Zscaler’ın ThreatLabz’ı bilgi paylaştıktan kısa bir süre sonra bildirildi. Twitter’dan.
Şu anda, tehdit aktörü şantaj sitesinde iki kurban listeliyor ve bunlardan biri, yıllık geliri 1 milyar dolara yakın bir Asyalı havayolu şirketi. Ek olarak, tehdit aktörleri şirketten dosya çaldıklarını iddia ederler ve ihlalin kanıtı olarak erişilen dosya sisteminin ekran görüntüsünü eklerler.
.jpg)
BleepingComputer, araştırırken, tanınmış bir bilgisayar donanımı satıcısında potansiyel bir Para İletisi ihlali olduğuna dair kanıt gördü. Ancak şu anda şirketle saldırıyı bağımsız olarak doğrulayamadık.
Money Message bir bilgisayarı nasıl şifreler?
Money Message şifreleyici, C++ ile yazılmıştır ve bir aygıtın nasıl şifreleneceğini belirleyen katıştırılmış bir JSON yapılandırma dosyası içerir.
Bu yapılandırma dosyası, hangi klasörlerin şifrelenmesinin engelleneceğini, hangi uzantının ekleneceğini, hangi hizmetlerin ve işlemlerin sonlandırılacağını, günlüğe kaydetmenin etkin olup olmadığını ve muhtemelen diğer cihazları şifrelemek için kullanılan etki alanı oturum açma adlarını ve parolalarını içerir.
BleepingComputer tarafından analiz edilen örnekte, fidye yazılımı aşağıdaki klasörlerdeki dosyaları şifrelemeyecektir:
C:\msocache,C:\$windows.~ws,C:\system volume information,C:\perflogs,C:\programdata,C:\program files (x86), C:\program files,C:\$windows.~bt,C:\windows,C:\windows.old,C:\boot]Başlatıldığında, aşağıdaki komutu kullanarak Gölge Birim Kopyalarını siler:
cmd.com /c vssadmin.exe delete shadows /all /quiet to clear shadow volume copiesFidye yazılımı daha sonra aşağıdaki işlemi sonlandırır:
sql.exe,oracle.exe,ocssd.exe,dbsnmp.exe,synctime.exe,agntsvc.exe,isqlplussvc.exe,xfssvccon.exe,mydesktopservice.exe,ocautoupds.exe,encsvc.exe,firefox.exe,tbirdconfig.exe,mdesktopqos.exe,ocomm.exe,dbeng50.exe,sqbcoreservice.exe,excel.exe,infopath.exe,msaccess.exe,mspub.exe,onenote.exe,outlook.exe,powerpnt.exe,steam.exe,thebat.exe,thunderbird.exe,visio.exe,winword.exe,wordpad.exe,vmms.exe,vmwp.exeArdından, fidye yazılımı aşağıdaki Windows hizmetlerini kapatır:
vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, vmmsDosyaları şifrelerken herhangi bir uzantı eklemez ama bu kurbana göre değişebilir. Güvenlik araştırmacısına göre rivitnaşifreleyici, dosyaları şifrelerken ChaCha20/ECDH şifrelemesini kullanır.
Varsayılan olarak şifreleme dışında bırakılan dosyalar şunlardır:
- desktop.ini
- ntuser.dat
- başparmak.db
- ikon önbelleği.db
- ntuser.ini
- ntldr
- bootfont.bin
- ntuser.dat.log
- botect.bak
- boot.ini
- autorun.inf
Testlerimiz sırasında, dosyaların Money Message tarafından şifrelenmesi, diğer şifreleyicilere kıyasla oldukça yavaştı.
Fidye yazılımı cihazı şifreledikten sonra, adlı bir fidye notu oluşturur. money_message.log tehdit aktörleriyle müzakere etmek için kullanılan bir görev tanımı müzakere sitesine bir bağlantı içeren.
Fidye yazılımı, fidye ödenmediği takdirde çalınan verileri veri sızıntısı sitelerinde yayınlayacakları konusunda da sizi uyaracaktır.
Money Message fidye yazılımı grubunun ortaya çıkışı, kuruluşların dikkat etmesi gereken ek bir tehdide yol açar.
Grubun kullandığı şifreleyici karmaşık görünmese de, operasyonun başarılı bir şekilde verileri çaldığı ve saldırıları sırasında cihazları şifrelediği doğrulandı.
Uzmanlar fidye yazılımını analiz edecek ve şifrelemede bir zayıflık bulunursa bu gönderiyi güncelleyeceğiz.