近年,數量驚人的勒索軟件組織如雨后春筍般涌現,勒索攻擊是全球網絡安全面臨的重大威脅之一。近日,安恒信息獵影實驗室在日常監測運營中發現,新勒索軟件MoneyMessage連續攻陷多家大型企業,竊取數據并索要巨額贖金。在此次的MoneyMessage勒索事件中出現了針對受害者的定向攻擊樣本,表明勒索組織在攻防博弈過程中不斷進化,愈發專業化和系統化。
本次監測運用了安恒在線云沙盒。它擁有勒索場景化能力,對勒索等惡意軟件的行為能夠進行深度分析和檢測,關聯海量威脅情報,通過多項特征鎖定勒索家族、整合出勒索后綴、錢包地址、聯系郵箱、信息網站、勒索信文件內容等關鍵信息,給出是否能夠解密的信息提示。
MoneyMessage勒索采用ECDH和ChaCha20組合的方式加密受害系統上的文件,并嵌入json格式的配置文件來靈活設置加密策略。該種組合的加密方案若無對應的密鑰,則無法解密。此外,MoneyMessage勒索還通過內置的賬戶密碼嘗試登陸遠程主機,并在內網進行橫向感染,擴大勒索危害。該勒索加密執行結束后并不改變加密文件的后綴名,但創建一個名為money_message.log的勒索信文件用于提醒受害者,在勒索信內容中包含了該組織的暗網博客鏈接,表示不支付贖金則在其數據泄露網站公布竊取的數據。
截止4月12日,在勒索組織的博客上顯示了有多家大型企業受到攻擊,其中包括年收入近10億美元的孟加拉國家航空公司(Biman airlines),還有世界知名計算機硬件提供商微星國際(MSI)。MSI在全球120多個國家擁有廣泛的業務,是全球前三大主板廠商和顯卡生產商之一。MoneyMessage在其博客中聲稱若不支付贖金,則公開泄露從微星國際竊取的源代碼、BIOS開發框架和私鑰。
