Un nouveau gang de rançongiciel nommé « Money Message » est apparu, ciblant les victimes dans le monde entier et exigeant des rançons d’un million de dollars pour ne pas divulguer de données et libérer un décrypteur.
Le nouveau ransomware a été signalé pour la première fois par une victime sur les forums Breachtrace le 28 mars 2023, avec ThreatLabz de Zscaler peu après avoir partagé des informations sur Twitter.
Actuellement, l’acteur de la menace répertorie deux victimes sur son site d’extorsion, dont l’une est une compagnie aérienne asiatique dont le chiffre d’affaires annuel avoisine le milliard de dollars. De plus, les acteurs de la menace prétendent avoir volé des fichiers à l’entreprise et incluent une capture d’écran du système de fichiers consulté comme preuve de la violation.
Au cours de son enquête, Breachtrace a vu des preuves d’une violation potentielle de Money Message sur un fournisseur de matériel informatique bien connu. Cependant, nous n’avons pas été en mesure de confirmer de manière indépendante l’attaque avec la société pour le moment.
Comment Money Message crypte un ordinateur
Le chiffreur Money Message est écrit en C++ et inclut un fichier de configuration JSON intégré déterminant comment un appareil sera chiffré.
Ce fichier de configuration inclut les dossiers à empêcher de chiffrer, l’extension à ajouter, les services et processus à mettre fin, si la journalisation est activée, ainsi que les noms de connexion de domaine et les mots de passe susceptibles d’être utilisés pour chiffrer d’autres appareils.
Dans l’échantillon analysé par Breachtrace, le ransomware ne chiffrera pas les fichiers dans les dossiers suivants :
Une fois lancé, il supprimera les clichés instantanés de volumes à l’aide de la commande suivante :
Le ransomware mettra alors fin au processus suivant :
Ensuite, le ransomware arrête les services Windows suivants :
Lors du cryptage des fichiers, il n’ajoutera aucune extension, mais cela peut changer en fonction de la victime. Selon le chercheur en sécurité Rivitna, le chiffreur utilise le chiffrement ChaCha20/ECDH lors du chiffrement des fichiers.
Les seuls fichiers exclus du chiffrement par défaut sont :
- desktop.ini
- ntuser.dat
- thumbs.db
- iconcache.db
- ntuser.ini
- ntldr
- bootfont.bin
- ntuser.dat.log
- bootsect.bak
- boot.ini
- autorun.inf
Lors de nos tests, le cryptage des fichiers par Money Message était assez lent par rapport aux autres crypteurs.
Après avoir chiffré l’appareil, le ransomware créera une note de rançon nommée money_message.log qui contient un lien vers un site de négociation TOR utilisé pour négocier avec les acteurs de la menace.
Le ransomware avertira également qu’il publiera toutes les données volées sur son site de fuite de données si une rançon n’est pas payée.
L’émergence du groupe de rançongiciels Money Message introduit une menace supplémentaire à laquelle les organisations doivent faire attention.
Bien que le chiffreur utilisé par le groupe ne semble pas sophistiqué, il a été confirmé que l’opération réussit à voler des données et à chiffrer des appareils lors de leurs attaques.
Des experts analyseront le ransomware, et si une faiblesse dans le cryptage est découverte, nous mettrons à jour ce post.