Photo Credit:Dominic Alvieri
在上週竣盟科技部落格報導了在4月6日外媒透露有關電競筆電大廠微星科技遭新型勒索軟體Money Message入侵的資安事件。4月7日,微星發布重訊證實其部分系統遭駭客攻擊,但沒有透露任何有關其遭受網路攻擊性質的資訊,也沒有說是否如同駭客所聲稱數據在攻擊過程中被竊取。竣盟科技當時引述了資安外媒Bleeping Computer的報導,Money Message從微星盜竊了約1.5TB的數據,據報當中包BIOS 韌體檔案、ERP資料庫、金鑰、軟體原始碼等檔案,若微星不能滿足Money Message的贖金要求即約台幣1.2億,將被公開該批敏感資料。
4月14日,在 Money Message的揭秘網站上已出現疑屬於微星的3個資料夾,其中2個可追溯到2022年1月19和9 月17日;另一個可追溯到今年的1月23日,判斷微星沒有妥協駭客勒索的要求而遭Money Message外洩資料。此外,資安資安專家Dominic Alvieri也在其Twitter上公開了微星外洩資料的截圖。
另外,資安硏究團隊MalwareHunterTeam公開疑似微星代表在3月底與Money Message的部分對話代容,有趣的是內容是周杰倫的歌曲”青花瓷”歌詞的一小段:
「天青色等煙雨 而我在等你
炊煙嫋嫋升起 隔江千萬裏
在瓶底書漢隸仿前朝的飄逸
就當我為遇見你伏筆」
竣盟科技對比了BleepingComputer在4月6日的報導,該外媒張貼了一張疑為微星代表與Money Message 的聊天記錄,雖然聊天室截圖經馬塞克處理過,但仍隱約看出是青花瓷的歌詞。
一般來說,遭受勒索軟體攻擊的受害者會得到一個指定的聊天室連結用以與攻擊者談判,然而目前暫未能確認此聊天室是否遭別的駭客騎劫或受害者有什麼特別的意思想表達。
紅框部分隱約看出是青花瓷的歌詞 Photo Credit: BleepingComputer
Money Message 是勒索軟體市場上的一個相對較新的組織,於今年3月首次被發現,Windows 和 Linux 操作系統都是此勒索軟體的目標,它可以加密網路共享資料夾,其針對網路共享的方法與Maze 和 Petya 勒索軟體類似。據悉,攻擊者會在其操作中使用Stealer來竊取日誌資料。在其啟動加密過程中,使用橢圓曲線迪菲-赫爾曼密鑰交換(Elliptic Curve Diffie–Hellman key exchange)和 ChaCha 串流加密演算法來加密。根據Bleeping Computer 的說法,Money Message不如其他勒索軟體系列那麼有效。事實上,與其他加密工具相比,它實際上非常慢。一旦勒索軟體進入,它就會留下一個名為 money_message.log的勒索字條,其中包含一個指向 TOR 站點的鏈接以協商贖金。在一個案例研究中,發現Money Message 勒索軟體試圖通過使用配置中存在的管理員身份驗證憑證呼叫WNetAddConnection2W()來存取管理網路共享。一旦使用這些憑證獲得網路存取權限,勒索軟體就會開始加密網路共享中的檔案。
Photo Credit : Cyble
Money Message勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
SHA 256
dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304dc8de384 –>Money Message Windows 執行檔
4f8bd37851b772ee91ba54b8fd48304a6520d49ea4a81d751570ea67ef0a9904 –>Money Message Linux執行檔
竣盟科技建議針對勒索軟體的應對措施:
*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。
對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”