È apparso online un nuovo gruppo criminale adoperante malware di tipo ransomware per i suoi attacchi: identificato con il nome di Money Message, sta colpendo aziende in tutto il mondo senza un target preciso.
Gli attori della minaccia richiedono riscatti di milioni di dollari per non divulgare i dati interni rubati durante l’attacco e rilasciare un decryptor per ripristinare i sistemi danneggiati.
Indice degli argomenti
Money Message, il nuovo gruppo ransomware
Le vittime hanno segnalato la nuova banda di ransomware il 28 marzo 2023. Subito dopo, ThreatLabz ha segnalato le sue tecniche di doppia estorsione su Twitter.
💰ThreatLabz has discovered a new #ransomware group named Money Message performing double extortion attacks.
Sample hash: bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b
Data leak site: blogvl7tjyjvsfthobttze52w36wwiz34hrfcmorgvdzb6hikucb7aqd[.]onion pic.twitter.com/P7xYnHy6wL
— Zscaler ThreatLabz (@Threatlabz) March 29, 2023
Gli attaccanti hanno già elencato due vittime sul loro data leak site (DLS). Una delle vittime è una compagnia aerea asiatica con un reddito annuo di 1 miliardo di dollari. Gli attori della minaccia hanno annunciato di aver esfiltrato informazioni da questa azienda, pubblicando uno screenshot dei file come prova di attacco avvenuto con successo.
Il gruppo ransomware Money Message è una nuova minaccia che prende di mira grandi aziende e richiede enormi pagamenti in cambio della chiave di decrittazione e per non far trapelare dati sensibili rubati durante l’attacco.
Utilizza il linguaggio C++ per la funzionalità di crittografia dei file, con un file JSON incorporato che decide un metodo crittografico da utilizzare. Il file JSON determina quali cartelle non verranno crittografate, le estensioni aggiunte, i servizi e i processi che verranno interrotti, se la registrazione è attiva e quali nomi di accesso e password di dominio verranno utilizzati.
Gli unici file che Money Message non crittografa per impostazione predefinita sono: desktop.ini, ntuser.dat, thumbs.db, iconcache.db, ntuser.ini, ntldr, bootfont.bin, ntuser.dat.log, bootsect.bak, boot.ini e autorun.inf.
Sebbene il sistema di crittografia adottato da questa organizzazione non sia molto avanzato, è stato confermato che estraggono con successo dati riservati e crittografano i dispositivi durante i loro attacchi.
In ambito della propria analisi post rilevamento, Zscaler ha anche diffuso un sample della nota di riscatto che Money Message rilascia dopo che viene attuata la crittografia sui sistemi della vittima. Immagine fonte DRM – Dashboard Ransomware Monitor.
Come proteggersi
È importante che le aziende adottino misure proattive per proteggersi dagli attacchi ransomware, come il backup regolare dei propri dati, l’aggiornamento del software e la formazione dei propri dipendenti su come individuare ed evitare le e-mail di phishing.
È sempre la mail di phishing il frontend numero uno anche di questa tipologia di attacchi. Si cerca sempre di spingere l’utente a scaricare ed eseguire file di dubbia provenienza, siano essi file binari da eseguire oppure file fasulli di Office 365 (Excel) con macro attive che, porteranno quasi sempre al download del malware direttamente sul computer della vittima.
Riconoscere il phishing e saper discernere quando non dare corso alle comunicazioni che si ricevono, è sempre più necessario.
