Banda de ransomware está atacando servidores de Zimbra y exige una donación benéfica
Una banda de ransomware está hackeando servidores de Zimbra para robar correos electrónicos y cifrar archivos. Sin embargo, en lugar de exigir el pago de un rescate, los atacantes afirman que requieren una donación a la caridad para proporcionar un descifrador y evitar la fuga de datos.
La banda de ransomware, denominada MalasLocker, comenzó a cifrar los servidores de Zimbra a fines de marzo de 2023. Las víctimas informaron en los foros de Zimbra que sus correos electrónicos estaban cifrados.
Numerosas víctimas en los foros de Zimbra informan haber encontrado archivos JSP sospechosos subidos en /opt/zimbra/jetty_base/webapps/zimbra/ o /opt/zimbra/jetty/webapps/zimbra/public folders.
Estos archivos se encontraron con diferentes nombres, incluidos info.jsp, noops.jsp y heartbeat.jsp , que según expertos, se basan en una webshell de código abierto.
Al cifrar mensajes de correo electrónico, no se agrega ninguna extensión de archivo adicional al nombre del archivo. Sin embargo, el investigador de seguridad MalwareHunterTeam dijo que agregan un mensaje al final de cada archivo cifrado.
“Este archivo está cifrado, debes buscar README.txt para obtener instrucciones de descifrado”
No está claro en este momento cómo los hackers están vulnerando los servidores de Zimbra.
Una demanda de rescate inusual
El descifrador también crea notas de rescate llamadas README.txt que vienen con una demanda de rescate inusual para recibir un descifrador y evitar la filtración de datos robados: una donación a una organización benéfica sin fines de lucro que “aprueban”.
“A diferencia de los grupos de ransomware tradicionales, no le pedimos que nos envíe dinero. Simplemente no nos gustan las corporaciones y la desigualdad económica”.
“Simplemente le pedimos que haga una donación a una organización sin fines de lucro que aprobemos. Es beneficioso para todos, probablemente pueda obtener una deducción de impuestos y buenas relaciones públicas de su donación si lo desea”.
Nota de rescate de MalasLocker
Las notas de rescate contienen una dirección de correo electrónico para contactar a los atacantes o una URL TOR que incluye la dirección de correo electrónico más reciente del grupo. La nota también tiene una sección de texto codificado en Base64 en la parte inferior que se requiere para recibir un descifrador, que veremos con más detalle más adelante en el artículo.
Si bien las notas de rescate no contienen un enlace al sitio de fuga de datos de la banda de ransomware, el analista de amenazas de Emsisoft, Brett Callow , encontró un enlace a su sitio de fuga de datos, con el título “Somos malas… podemos ser peores”.
Filtración de datos
El sitio de fuga de datos de MalasLocker actualmente distribuye los datos robados para tres empresas y la configuración de Zimbra para otras 169 víctimas.
La página principal del sitio de fuga de datos también contiene un mensaje largo lleno de emojis que explica lo que representan y los rescates que requieren.
“Somos un nuevo grupo de ransomware que ha estado cifrando las computadoras de las empresas para pedirles que donen dinero a quien quieran”.
“Les pedimos que hagan una donación a una organización sin fines de lucro de su elección, y luego guarden el correo electrónico que reciben confirmando la donación y nos lo envíen para que podamos verificar la firma DKIM y asegurarnos de que el correo electrónico sea real”.
MalasLocker
Esta demanda de rescate es muy inusual y, si es honesta, coloca la banda más en el ámbito del hacktivismo.
Sin embargo, los expertos aún tienen que determinar si los atacantes cumplen su palabra cuando una víctima dona dinero a una organización benéfica para obtener un descifrador.
Cifrado Age poco común
Los expertos aún no han podido encontrar el cifrador de la banda MalasLocker. Sin embargo, el bloque codificado en Base64 en la nota de rescate se decodifica en un encabezado de la herramienta de cifrado Age. Este es necesario para descifrar la clave de descifrado privada de la víctima.
age-encryption.org/v1
-> X25519 GsrkJHxV7l4w2GPV56Ja/dtKGnqQFj/qUjnabYYqVWY
nkEmdfk4CojS5sTtDHR9OtzElaZ8B0+1iLtquHyh6Hg
-> .7PM/-grease {0DS )2D'y,c BA
l/tjxov1fa12V8Imj8SfQ27INLwEg+AC2lX3ou4N8HAjtmu9cPV6xLQ
--- 7bAeZFny0Xk7gqxscyeDGDbHjsCvAZ0aETUUhIsXnygLa herramienta de cifrado Age fue desarrollada por Filippo Valsorda, criptógrafo y líder de seguridad en Google, y utiliza los algoritmos X25519 (una curva ECDH), ChaChar20-Poly1305 y HMAC-SHA256.
Este es un método de cifrado poco común, con solo unas pocas operaciones de ransomware usándolo, y todas ellas no están dirigidas a dispositivos Windows.
El primero fue AgeLocker, descubierto en 2020 y el otro fue encontrado por MalwareHunterTeam en agosto de 2022, ambos dirigidos a dispositivos QNAP.
Además, las notas de rescate de la campaña QNAP y AgeLocker comparten un lenguaje similar, vinculando aún más esas dos operaciones al menos.
Si bien este es un eslabón débil en el mejor de los casos, el hecho de que todas estas operaciones de ransomware se dirijan a dispositivos que no sean de Windows y usen el cifrado de Age podría indicar que están relacionados.
