New Money Message ransomware demands million dollar ransoms
แก๊งแรนซัมแวร์ตัวใหม่ชื่อ Money Message ได้ปรากฏตัวขึ้น โดยมุ่งเป้าไปที่เหยื่อทั่วโลกและเรียกร้องให้จ่ายเงินค่าไถ่หลายล้านดอลลาร์เพื่อไม่ให้ข้อมูลรั่วไหลและแลกกับตัวถอดรหัส แรนซัมแวร์ตัวใหม่ได้รับการรายงานครั้งแรกเมื่อวันที่ 28 มีนาคม 2023 โดยทีม ThreatLabz ของ Zscaler หลังจากแชร์ข้อมูลบน Twitter ไม่นาน และปัจจุบันผู้คุกคามได้แสดงรายชื่อของเหยื่อ 2 รายในเว็บไซต์ข้อมูลรั่วไหล โดยหนึ่งในนั้นเป็นสายการบินในเอเชียที่มีรายได้ต่อปีเกือบ 1 พันล้านดอลลาร์ นอกจากนี้ ผู้คุกคามอ้างว่าได้ขโมยไฟล์จากบริษัทและภาพหน้าจอของระบบไฟล์ที่เข้าถึงเพื่อใช้เป็นหลักฐานการในการโจมตี
ตัวเข้ารหัสของแรนซัมแวร์ Money Message เขียนด้วยภาษา C++ และมีไฟล์กำหนดค่า JSON ในตัวซึ่งสามารถกำหนดวิธีเข้ารหัสอุปกรณ์ได้ จากข้อมูลของนักวิจัยด้านความปลอดภัย rivitna ได้รายงานว่าตัวเข้ารหัสที่ใช้คือ ChaCha20/ECDH และเมื่อทำการเข้ารหัสไฟล์แล้วจะไม่มีการเพิ่มชื่อต่อท้ายนามสกุลใดๆ โดยไฟล์เหล่านี้จะไม่รวมอยู่ในการเข้ารหัสตามค่าเริ่มต้น , desktop.ini , ntuser.dat , thumbs.db , iconcache.db , ntuser.ini , ntldr , bootfont.bin , ntuser.dat.log , bootsect.bak , boot.ini , autorun.inf
ในระหว่างการทดสอบนั้นพบว่าการเข้ารหัสไฟล์ด้วย Money Message นั้นค่อนข้างช้าเมื่อเทียบกับตัวเข้ารหัสอื่นๆ โดยหลังจากเข้ารหัสอุปกรณ์แล้ว แรนซัมแวร์ Money Message จะสร้างบันทึกเรียกค่าไถ่ชื่อ money_message.log ที่มีลิงก์ไปยังเว็บไซต์ที่ใช้ในการเจรจากับผู้คุกคาม หากไม่จ่ายค่าไถ่ผู้คุกคามจะเผยแพร่ข้อมูลที่ถูกขโมยบนเว็บไซต์ข้อมูลรั่วไหล การเกิดขึ้นของกลุ่มแรนซัมแวร์ Money Message ทำให้เกิดภัยคุกคามเพิ่มเติมที่องค์กรต่างๆต้องระวัง แม้ว่าตัวเข้ารหัสที่ใช้โดยกลุ่มจะดูไม่ซับซ้อน แต่ก็ได้รับการยืนยันว่าการโจมตีดังกล่าวประสบความสำเร็จในการขโมยข้อมูลและเข้ารหัสอุปกรณ์
https://www.bleepingcomputer.com/news/security/new-money-message-ransomware-demands-million-dollar-ransoms/