Geng ransomware baru bernama ‘Pesan Uang’ telah muncul, menargetkan korban di seluruh dunia dan menuntut uang tebusan jutaan dolar agar tidak membocorkan data dan merilis dekripsi.
Ransomware baru pertama kali dilaporkan oleh korban di Forum komputer Bleeping pada 28 Maret 2023, dengan ThreatLabz Zscaler segera setelah berbagi informasi di Twitter.
Saat ini, aktor ancaman mencantumkan dua korban di situs pemerasannya, salah satunya adalah maskapai penerbangan Asia dengan pendapatan tahunan mendekati $1 miliar. Selain itu, pelaku ancaman mengklaim telah mencuri file dari perusahaan dan menyertakan tangkapan layar dari sistem file yang diakses sebagai bukti pelanggaran.
.jpg)
Saat menyelidiki, BleepingComputer telah melihat bukti potensi pelanggaran Pesan Uang pada vendor perangkat keras komputer terkenal. Namun, kami belum dapat mengonfirmasi serangan tersebut secara independen dengan perusahaan saat ini.
Bagaimana Money Message mengenkripsi komputer
Enkripsi Pesan Uang ditulis dalam C++ dan menyertakan file konfigurasi JSON tersemat yang menentukan cara perangkat akan dienkripsi.
File konfigurasi ini mencakup folder apa yang harus diblokir agar tidak dienkripsi, ekstensi apa yang akan ditambahkan, layanan dan proses apa yang akan dihentikan, apakah logging diaktifkan, dan nama login domain serta kata sandi yang mungkin digunakan untuk mengenkripsi perangkat lain.
Dalam sampel yang dianalisis oleh BleepingComputer, ransomware tidak akan mengenkripsi file di folder berikut:
C:\msocache,C:\$windows.~ws,C:\system volume information,C:\perflogs,C:\programdata,C:\program files (x86), C:\program files,C:\$windows.~bt,C:\windows,C:\windows.old,C:\boot]Saat diluncurkan, itu akan menghapus Salinan Volume Bayangan menggunakan perintah berikut:
cmd.com /c vssadmin.exe delete shadows /all /quiet to clear shadow volume copiesRansomware kemudian akan menghentikan proses berikut:
sql.exe,oracle.exe,ocssd.exe,dbsnmp.exe,synctime.exe,agntsvc.exe,isqlplussvc.exe,xfssvccon.exe,mydesktopservice.exe,ocautoupds.exe,encsvc.exe,firefox.exe,tbirdconfig.exe,mdesktopqos.exe,ocomm.exe,dbeng50.exe,sqbcoreservice.exe,excel.exe,infopath.exe,msaccess.exe,mspub.exe,onenote.exe,outlook.exe,powerpnt.exe,steam.exe,thebat.exe,thunderbird.exe,visio.exe,winword.exe,wordpad.exe,vmms.exe,vmwp.exeSelanjutnya, ransomware mematikan layanan Windows berikut:
vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, vmmsSaat mengenkripsi file, itu tidak akan menambahkan ekstensi apa pun, tetapi ini dapat berubah tergantung pada korban. Menurut peneliti keamanan rivitnaenkripsi menggunakan enkripsi ChaCha20/ECDH saat mengenkripsi file.
Satu-satunya file yang dikecualikan dari enkripsi secara default adalah:
- desktop.ini
- ntuser.dat
- thumbs.db
- iconcache.db
- ntuser.ini
- ntldr
- bootfont.bin
- ntuser.dat.log
- bootsect.bak
- boot.ini
- autorun.inf
Selama pengujian kami, enkripsi file oleh Money Message cukup lambat dibandingkan dengan enkripsi lainnya.
Setelah mengenkripsi perangkat, ransomware akan membuat catatan tebusan bernama money_message.log yang berisi tautan ke situs negosiasi TOR yang digunakan untuk bernegosiasi dengan pelaku ancaman.
Ransomware juga akan memperingatkan bahwa mereka akan menerbitkan data yang dicuri di situs kebocoran data mereka jika uang tebusan tidak dibayarkan.
Munculnya grup ransomware Money Message memperkenalkan ancaman tambahan yang perlu diwaspadai oleh organisasi.
Meskipun enkripsi yang digunakan oleh grup tersebut tidak tampak canggih, telah dipastikan bahwa operasi tersebut berhasil mencuri data dan mengenkripsi perangkat selama serangan mereka.
Para ahli akan menganalisis ransomware, dan jika ditemukan kelemahan dalam enkripsi, kami akan memperbarui posting ini.
