Money Message: скрытый гость в корпоративных сетях Австралии

В августе 2023 года группа реагирования на инциденты компании Sophos была привлечена для поддержки организации в Австралии, заражённой программой-вымогателем Money Message. Этот вектор атаки, известный своей скрытностью, не добавляет никаких расширений к зашифрованным данным, что затрудняет жертвам идентификацию зашифрованных файлов методом поиска таких расширений.

Рассмотренная специалистами Sophos атака началась со взлома учётной записи с однофакторной аутентификацией для доступа к корпоративному VPN. Затем злоумышленники отключили защиту Microsoft Defender с помощью групповой политики.

Далее они использовали утилиту «psexec», чтобы запустить скрипт для включения RDP и получить удалённый доступ к сети компании. После этого злоумышленникам удалось похитить hive-файл реестра SAM со всеми паролями при помощи специального скрипта на Python.

Злоумышленники получили доступ к финансовым данным, бухгалтерии, отчётам о продажах и кадровой информации компании. Затем данные были выведены через облачный сервис MegaSync. Для последующего шифрования использовались две версии вымогателя — для Windows и Linux.

Чтобы защититься от подобных атак, организациям необходимо внедрять MFA для VPN, следить за отключением защиты, ограничить доступ по RDP и усилить контроль над конфиденциальными данными. Также жизненно важно использовать EDR-решения.