近期,一个名为“Money Message”的新勒索软件团伙,大肆攻击全球知名企业,加密、窃取用户数据并索要巨额赎金,该团伙已攻击多家大型企业,包括年收入近十亿美元的孟加拉国家航空公司(Biman airlines),以及世界知名计算机硬件提供商微星国际(MSI)等,据称,该团伙窃取了微星数据库快照、源代码、私钥和BIOS固件等总计1.5TB的数据,并要求支付四百万美元的赎金,否则将公开窃取的数据。
Money Message勒索病毒采用ECDH和ChaCha20组合的方式加密受害系统上的文件,并嵌入json格式的配置文件来灵活设置加密策略,该方式加密强度较高,无法破解。此外,MoneyMessage勒索还通过内置的账户密码尝试登录远程主机,并在内网进行横向感染,扩大勒索危害。该勒索加密执行结束后并不改变加密文件的后缀名,并且会创建一个名为money_message.log的勒索信文件用于提醒受害者,在勒索信内容中包含了该组织的暗网博客链接,表示不支付赎金则在其数据泄露网站公布窃取的数据。
Money Message病毒于2023年3月20日首次出现,在攻击了多家大型企业后,截至4月18日,国内主流威胁情报平台以及国内外24款知名杀毒软件,仍无法识别该病毒的威胁,基于威胁情报和病毒特征的防护软件或安全平台,在面临此类新型病毒时,全部失效。
面对严峻的勒索病毒威胁态势,美创第59号实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
⑨ 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
⑩ 安装诺亚防勒索软件,防御未知勒索病毒。
美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。
美创科技旗下第59号实验室,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、威胁情报等专业研究,进行知识产品转化并赋能于产品。累计向CNVD、CNNVD等平台提报数百个高质量原创漏洞,发明专利数十篇,团队著有《数据安全实践指南》
原文始发于微信公众号(第59号):【预警】Money Message勒索病毒来袭,击穿杀软花样百出!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论