Da pochi giorni sono stati individuati attacchi con un nuovo ransomware contro due aziende. All’elenco si aggiunge ora MSI. In base alle informazioni pubblicate sul sito che i cybercriminali del gruppo Money Message usano per confermato il furto di dati, il produttore taiwanese ha circa cinque giorni per pagare il riscatto.
Attacco ransomware contro MSI
Money Message è una new entry tra i ransomware. Non è noto come viene distribuito tra i computer collegati alla rete e quindi ad Internet (vulnerabilità software, phishing o altre tecniche), ma sembra piuttosto efficace. Il malware è scritto in linguaggio C++ e sfrutta un file di configurazione JSON per escludere directory e file di sistema, indicare l’estensione da aggiungere ai file cifrati e i processi da terminare, tra cui quelli associati a browser, database, antivirus, client email e applicazioni Office.
Il ransomware cancella inoltre tutte le copie shadow dei volumi per impedire il ripristino dei file dai backup. Per la cifratura viene usato l’algoritmo ChaCha20/ECDH (Elliptic-curve Diffie–Hellman). Al termine della procedura viene creato un file di testo che include le istruzioni da seguire per pagare il riscatto. La vittima deve accedere ad un sito Tor per avviare la negoziazione.
In base alle informazioni pubblicati sul sito dei cybercriminali, l’attacco contro MSI ha permesso di rubare file e database CTMS e ERP, oltre a codice sorgente, chiavi private e firmware per un totale di circa 1,5 TB. Il produttore taiwanese ha cinque giorni di tempo per pagare il riscatto di 4 milioni di dollari (che verrà sicuramente ridotto durante la negoziazione).
MSI non ha ancora confermato l’intrusione dei suoi sistemi informatici, quindi non è possibile stabilire se i dati sono reali.
Aggiornamento (7/04/2023): MSI ha confermato l’attacco ransomware.