Money Message
Money Messageはランサムウェア攻撃を展開する脅威アクターです。
ランサムウェア攻撃を展開するアクターがまた新たに確認されています。
活動はどんな様子でしょうか。
- 脅威の内容
いわゆるランサムウェア攻撃を実施します。
勝手に暗号化し、勝手に持ち出し、二重恐喝します。
暗号化を戻したければ金を払え、データを公開されたくなければ金を払え、という具合です。 - リークサイト
他のランサムウェアギャングと同じく、恐喝に使用するリークサイトをTor上に保有しています。
データを盗むことが実施できていることを示すためのデータがリークサイトで公開されています。 - Money Messageの攻撃
マルウェアはC++で作成されたマルウェア本体とそれが読み取って使用する設定ファイルという組み合わせになっています。
設定には、暗号化除外フォルダ、終了させるサービス、などのマルウェアが動作する際にその動きを調整する内容が含まれています。
マルウェアは起動するとまずシャドウコピーを削除します。
そして設定で指定されたサービスやプロセスの停止を行います。
そして暗号化し、身代金メモを設置します。
身代金メモ設置の前までに、データの持ち出しも成功していることが確認されています。
現時点で確認できている範囲では、よくあるタイプのランサムウェアギャングというところでしょうか。
マルウェアの活動が難しくなるための取り組みは各方面で継続的に実施されていますが、脅威アクター側も次々に新しい行動を展開しています。
ランサムウェア攻撃についても減速するというニュースはなかなか聞こえてきません。
引き続き注意が必要な状況といえそうです。
参考記事(外部リンク):New Money Message ransomware demands million dollar
ransoms
www.bleepingcomputer.com/news/security/new-money-message-ransomware-demands-million-dollar-ransoms/
