Money Message: непрошеный гость в корпоративных сетях Австралии

В августе 2023 года группа реагирования на инциденты компанииSophosбыла привлеченадля поддержки организации в Австралии, заражённой программой-вымогателем Money Message. Этот вектор атаки, известный своей скрытностью, не добавляет никаких расширений к зашифрованным данным, что затрудняет жертвам идентификацию зашифрованных файлов методом поиска таких расширений. Об этом пишет Securitylab.

Рассмотренная специалистами Sophos атака началась со взлома учётной записи с однофакторной аутентификацией для доступа к корпоративномуVPN. Затем злоумышленники отключили защитуMicrosoft Defenderс помощью групповой политики.

Далее они использовали утилиту «psexec», чтобы запустить скрипт для включенияRDPи получить удалённый доступ к сети компании. После этого злоумышленникам удалось похитить hive-файл реестра SAM со всеми паролями при помощи специального скрипта наPython.

Злоумышленники получили доступ к финансовым данным, бухгалтерии, отчётам о продажах и кадровой информации компании. Затем данные были выведены через облачный сервисMegaSync. Для последующего шифрования использовались две версии вымогателя — дляWindowsиLinux.

Чтобы защититься от подобных атак, организациям необходимо внедрятьMFAдля VPN, следить за отключением защиты, ограничить доступ по RDP и усилить контроль над конфиденциальными данными. Также жизненно важно использоватьEDR-решения.