Money Message: attacco ransomware contro MSI (update)

Money Message: attacco ransomware contro MSI (update)

Il gruppo che distribuisce il ransomware Money Message avrebbe effettuato un attacco contro MSI e chiesto un riscatto di 4 milioni di dollari.
Money Message: attacco ransomware contro MSI (update)
Il gruppo che distribuisce il ransomware Money Message avrebbe effettuato un attacco contro MSI e chiesto un riscatto di 4 milioni di dollari.

Da pochi giorni sono stati individuati attacchi con un nuovo ransomware contro due aziende. All’elenco si aggiunge ora MSI. In base alle informazioni pubblicate sul sito che i cybercriminali del gruppo Money Message usano per confermato il furto di dati, il produttore taiwanese ha circa cinque giorni per pagare il riscatto.

Attacco ransomware contro MSI

Money Message è una new entry tra i ransomware. Non è noto come viene distribuito tra i computer collegati alla rete e quindi ad Internet (vulnerabilità software, phishing o altre tecniche), ma sembra piuttosto efficace. Il malware è scritto in linguaggio C++ e sfrutta un file di configurazione JSON per escludere directory e file di sistema, indicare l’estensione da aggiungere ai file cifrati e i processi da terminare, tra cui quelli associati a browser, database, antivirus, client email e applicazioni Office.

Il ransomware cancella inoltre tutte le copie shadow dei volumi per impedire il ripristino dei file dai backup. Per la cifratura viene usato l’algoritmo ChaCha20/ECDH (Elliptic-curve Diffie–Hellman). Al termine della procedura viene creato un file di testo che include le istruzioni da seguire per pagare il riscatto. La vittima deve accedere ad un sito Tor per avviare la negoziazione.

In base alle informazioni pubblicati sul sito dei cybercriminali, l’attacco contro MSI ha permesso di rubare file e database CTMS e ERP, oltre a codice sorgente, chiavi private e firmware per un totale di circa 1,5 TB. Il produttore taiwanese ha cinque giorni di tempo per pagare il riscatto di 4 milioni di dollari (che verrà sicuramente ridotto durante la negoziazione).

MSI non ha ancora confermato l’intrusione dei suoi sistemi informatici, quindi non è possibile stabilire se i dati sono reali.

Aggiornamento (7/04/2023): MSI ha confermato l’attacco ransomware.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
6 apr 2023
Link copiato negli appunti