Negli ultimi giorni sono stati segnalati attacchi effettuati con un nuovo ransomware denominato Money Message. Al momento, sul sito dei cybercriminali sono indicate due vittime, tra cui una compagnia aerea asiatica, insieme ad uno screenshot che rappresenta la prova del furto di dati. La tattica è sempre quella della doppia estorsione (pagamento del riscatto o pubblicazione dei file).
Money Message: descrizione del ransomware
Money Message è scritto in linguaggio C++. Un file di configurazione JSON specifica le directory da escludere, l’estensione da aggiungere ai file cifrati e i processi da terminare, tra cui quelli associati a browser, database, antivirus, client email e applicazioni Office. Sono ovviamente esclusi i file che consentono il funzionamento del sistema operativo.
Il ransomware cancella anche tutte le copie shadow del volume per impedire il ripristino dei file dai backup. Per la cifratura viene usato l’algoritmo ChaCha20/ECDH (Elliptic-curve Diffie–Hellman). Al termine della procedura viene creato un file di testo che include le istruzioni da seguire per pagare il riscatto. La vittima deve accedere ad un sito Tor per avviare la negoziazione.
Non è indicata la somma da pagare, ma si parla di milioni di dollari. Se la vittima non paga entro una certa scadenza, tutti i dati sottratti verranno condivisi online. Come detto, almeno due aziende sono già cadute nella trappola dei cybercriminali, probabilmente tramite l’invio di email di phishing.
Ti potrebbe interessare
3 apr 2023