Photo Credit: BleepingComputer
4月6日台灣時間晚上,資安網站BleepingComputer報導,新型電競筆電大廠微星科技疑遭Money Message勒索軟體入侵,被盜約1.5TB的數據,Money Message聲稱已入侵微星網路系統,在公開的螢幕截圖可見,當中包括微星的CTMS和ERP系統的數據庫,以及微星的軟體源始碼、私鑰和 BIOS 韌體的數據等。
Money Message在其Tor的揭秘網上稱,若微星不支付4佰萬美元(約新台幣1億2千萬的贖金,將在 2023 年 4 月 12 日星期三公佈盜來的所有數據。據報導, Money Message 透過與受害者溝通的即時chat room,疑似與微星的代表進行談判,駭客強調擁有微星的源始碼包括開發 bios 的框架及自訂義的模組等。
4月7日,微星發布重大訊息證實其部分資訊系統遭受駭客網路攻擊,但稱其資訊部門自偵測到網路異常後於第一時間啟動相關防禦機制與進行復原,並通報政府執法部門與資安單位,目前受影響之系統已陸續恢復正常運作,並評估對財務業務無重大影響。
Money Message 為新型勒索軟體並實施雙重勒索攻擊,即攻擊者同時竊取目標的敏感數據並對其進行加密。為實現這一目標,攻擊者利用多種方式來存取公司網路,釣魚登錄憑證可能是最簡單的,但根據攻擊者的技術水平,他們還可以利用漏洞和暴力破解 RDP 伺服器等策略。
基本上,Money Message 的運作方式如下,加密工具是用C++ 編寫的,帶有 JSON 配置,有助於檢查檔案並選擇要加密的檔案,
以下檔案不會在此過程中加密:
ntuser.ini
ntldr
ntuser.dat.log
bootsect.bak
boot.ini
autorun.inf
bootfont.bin
desktop.ini
ntuser.dat
thumbs.db
iconcache.db
根據Bleeping Computer 的說法,Money Message不如其他勒索軟體系列那麼有效。事實上,與其他加密工具相比,它實際上非常慢。一旦勒索軟體進入,它就會留下一個名為 money_message.log的勒索字條,其中包含一個指向 TOR 站點的鏈接以協商贖金。
Money Message勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b
“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”