2023-04-19 14:30:18
截止4月12日,在勒索组织的博客上显示了有多家大型企业受到攻击,并遭受数据泄露的威胁,其中包括年收入近十亿美元的孟加拉国家航空公司(Biman airlines),包括近期爆出被黑客勒索400W美元的微星国际(MSI)等,MSI在全球120多个国家拥有广泛的业务,是全球前三大主板厂商和显卡生产商之一。MoneyMessage在其博客中声称若不支付赎金,则公开泄露从微星国际窃取的源代码、BIOS开发框架和私钥。
微星国际(MSI)被加密勒索
采用复杂算法加密数据无法破解
MoneyMessage勒索采用ECDH和ChaCha20组合的方式加密受害系统上的文件,并嵌入json格式的配置文件来灵活设置加密策略。该种组合的加密方案若无对应的密钥,则无法解密。此外,MoneyMessage勒索还通过内置的账户密码尝试登陆远程主机,并在内网进行横向感染,扩大勒索危害。该勒索加密执行结束后并不改变加密文件的后缀名,但创建一个名为money_message.log的勒索信文件用于提醒受害者,在勒索信内容中包含了该组织的暗网博客链接,表示不支付赎金则在其数据泄露网站公布窃取的数据。
Money Message勒索病毒加密过程
Money Message威胁用户的勒索信
文档数据及应用数据全被加密
Money Message勒索病毒不会更改文件名和扩展名,应用程序、图片等文件被加密后,会提示版本不兼容无法执行或查看,文本文件被加密后,会显示为乱码,无法阅读和使用。
文档、文本显示乱码无法阅读
国内外24款杀毒软件全部失效
该病毒于2023年3月20日首次出现,在攻击了多家大型企业后,时间来到本文发稿的4月18日,国内主流威胁情报平台以及国内外24款知名杀毒软件,仍无法识别该病毒的威胁,基于威胁情报和病毒特征的防护软件或安全平台,在面临此类新型病毒时,全部失效。
国内外24款知名杀毒软件无法识别该病毒
勒索攻击在全球范围内持续蔓延,基于威胁情报和病毒特征的防护软件或安全平台,在面对新型勒索病毒时很容易失效,因此需要基于勒索病毒行为特征构建安全防护能力。此外,勒索病毒攻击手法不断演进变化,依靠单一的功能无法确保有效防御。因此,我们需要综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力,才能实现勒索病毒的有效防范。
文章素材来源:网络安全研究宅基地、威努特工控安全
扫码关注