В августе 2023 года группа реагирования на инциденты компании Sophos была привлечена для поддержки организации в Австралии, заражённой программой-вымогателем Money Message. Этот вектор атаки, известный своей скрытностью, не добавляет никаких расширений к зашифрованным данным, что затрудняет жертвам идентификацию зашифрованных файлов методом поиска таких расширений.
Рассмотренная специалистами Sophos атака началась со взлома учётной записи с однофакторной аутентификацией для доступа к корпоративному ” data-html=”true” data-original-title=”VPN” >VPN. Затем злоумышленники отключили защиту Windows Defender с помощью групповой политики.
Далее они использовали утилиту “psexec”, чтобы запустить скрипт для включения RDP и получить удалённый доступ к сети компании. После этого злоумышленникам удалось похитить hive-файл реестра SAM со всеми паролями при помощи специального скрипта на Python.
Злоумышленники получили доступ к финансовым данным, бухгалтерии, отчётам о продажах и кадровой информации компании. Затем данные были выведены через облачный сервис MegaSync. Для последующего шифрования использовались две версии вымогателя – для Windows и Linux.
Чтобы защититься от подобных атак, организациям необходимо внедрять MFA для VPN, следить за отключением защиты, ограничить доступ по RDP и усилить контроль над конфиденциальными данными. Также жизненно важно использовать EDR-решения.