Μια νέα επιχείρηση ransomware παραβιάζει Zimbra servers προκειμένου να κλέψει emails και να κρυπτογραφήσει αρχεία. Ωστόσο, αντί να ζητήσουν λύτρα, οι δράστες ισχυρίζονται ότι ζητούν μια δωρεά για φιλανθρωπικό σκοπό. Μετά τη δωρεά, υποτίθεται ότι οι hackers θα δώσουν στο θύμα ένα εργαλείο αποκρυπτογράφησης και δεν θα διαρρεύσουν τα δεδομένα που έχουν κλέψει.
Η λειτουργία ransomware, που ονομάστηκε MalasLocker από το BleepingComputer, άρχισε να κρυπτογραφεί τους διακομιστές Zimbra προς τα τέλη Μαρτίου 2023. Διάφορα θύματα ανέφεραν τόσο στο φόρουμ του BleepingComputer όσο και στο φόρουμ της Zimbra ότι τα email τους ήταν κρυπτογραφημένα.
Πολλά από τα θύματα ανέφεραν ότι βρήκαν ύποπτα αρχεία JSP που είχαν μεταφορτωθεί σε /opt/zimbra/jetty_base/webapps/zimbra/ ή /opt/zimbra/jetty/webapps/zimbra/public folders.
Αυτά τα αρχεία βρέθηκαν με διαφορετικά ονόματα (π.χ. info.jsp, noops.jsp και heartbeat.jsp).
Δείτε επίσης: Η ScanSource ανακοίνωσε ότι έπεσε θύμα επίθεσης ransomware
Κατά την κρυπτογράφηση μηνυμάτων email, δεν προστίθεται καμία επέκταση στο όνομα του αρχείου. Ωστόσο, ο ερευνητής ασφαλείας MalwareHunterTeam είπε στο BleepingComputer ότι οι hackers προσαρτούν ένα μήνυμα “This file is encrypted, look for README.txt for decryption instructions” στο τέλος κάθε κρυπτογραφημένου αρχείου.
Προς το παρόν, δεν γνωρίζουμε πώς οι φορείς απειλών παραβιάζουν τους διακομιστές Zimbra.
Δωρεά αντί για λύτρα
Το ransomware αφήνει ένα σημείωμα λύτρων με το όνομα README.txt που αναφέρει ότι για να λάβει το θύμα ένα εργαλείο αποκρυπτογράφησης και να αποτρέψει τη διαρροή κλεμμένων δεδομένων πρέπει να κάνει μια δωρεά σε μια μη κερδοσκοπική φιλανθρωπική οργάνωση που “εγκρίνουν” οι hackers.
“Σε αντίθεση με τις παραδοσιακές ομάδες ransomware, δεν σας ζητάμε να μας στείλετε χρήματα. Απλώς αντιπαθούμε τις εταιρείες και την οικονομική ανισότητα“, αναφέρει το σημείωμα λύτρων του MalasLocker ransomware.
“Απλώς σας ζητάμε να κάνετε μια δωρεά σε έναν μη κερδοσκοπικό οργανισμό που εγκρίνουμε. Είναι win-win, πιθανότατα μπορείτε να λάβετε έκπτωση φόρου και καλό PR από τη δωρεά σας, αν θέλετε“.
Τα σημειώματα λύτρων περιέχουν είτε μια διεύθυνση email για επικοινωνία με τους hackers είτε μια διεύθυνση URL TOR που περιλαμβάνει την πιο πρόσφατη διεύθυνση email για την ομάδα. Δεν περιέχουν κάποιον σύνδεσμο προς τον ιστότοπο διαρροής δεδομένων της συμμορίας ransomware. Ωστόσο, ο αναλυτής απειλών της Emsisoft, Brett Callow, βρήκε έναν σύνδεσμο προς τον ιστότοπο με τίτλο, “Somos malas… podemos ser peores” (μετάφραση: “Είμαστε κακοί… μπορούμε να είμαστε χειρότεροι”).
Δείτε επίσης: Ομάδα ransomware έκλεψε τα data 5,8 εκατ. ασθενών της PharMerica
Ο ιστότοπος διαρροής δεδομένων περιλαμβάνει επί του παρόντος τα κλεμμένα δεδομένα για τρεις εταιρείες και το Zimbra configuration για άλλα 169 θύματα.
Η κύρια σελίδα του ιστότοπου περιέχει επίσης ένα μακρύ μήνυμα γεμάτο emoji που εξηγεί τι αντιπροσωπεύουν οι hackers και τα λύτρα που απαιτούν.
“Είμαστε μια νέα ομάδα ransomware που κρυπτογραφεί τους υπολογιστές των εταιρειών για να τους ζητήσει να δωρίσουν χρήματα σε όποιον θέλουν“, αναφέρει ο ιστότοπος διαρροής δεδομένων του MalasLocker ransomware.
“Ζητάμε να κάνουν μια δωρεά σε έναν μη κερδοσκοπικό οργανισμό της επιλογής τους και στη συνέχεια να αποθηκεύσουν το email που λαμβάνουν επιβεβαιώνοντας τη δωρεά και να το στείλουν σε εμάς, ώστε να ελέγξουμε την υπογραφή DKIM για να βεβαιωθούμε ότι το email είναι πραγματικό“, αναφέρουν οι hackers.
Αυτή η απαίτηση είναι αρκετά ασυνήθιστη. Αν ισχύει ότι μετά τη δωρεά, οι hackers δίνουν το εργαλείο αποκρυπτογράφησης, τότε η δράση τους τοποθετείται περισσότερο στα πλαίσια του hacktivism.
Δείτε επίσης: RA Group ransomware: Στοχεύει εταιρείες σε ΗΠΑ και Νότια Κορέα
Ωστόσο, δεν ξέρουμε ακόμα αν οι επιτιθέμενοι τηρούν τον λόγο τους.
Ακόμα και αν η πληρωμή πρέπει να γίνει μέσω δωρεάς, η επίθεση δεν αλλάζει. Το Ransomware είναι μία από τις μεγαλύτερες απειλές στον κυβερνοχώρο σήμερα. Yπάρχουν, όμως, κάποια βήματα που μπορείτε να ακολουθήσετε για να προστατευθείτε. Η ενημέρωση λογισμικού, η χρήση λογισμικού προστασίας από ιούς, η δημιουργία αντιγράφων ασφαλείας των δεδομένων σας, η προσοχή στα εισερχόμενα email είναι όλα αποτελεσματικά μέτρα που μπορείτε να λάβετε. Με αυτές τις προφυλάξεις, μπορείτε να μειώσετε σημαντικά τον κίνδυνο να στοχοποιηθείτε από ransomware και να αποφύγετε τις οικονομικές και συναισθηματικές επιβαρύνσεις μιας επιτυχημένης επίθεσης.
Πηγή: www.bleepingcomputer.com