Uma nova operação de ransomware está hackeando servidores Zimbra para roubar e-mails e criptografar arquivos.
No entanto, em vez de exigir um pagamento de resgate, os atores ameaçam vazar os dados caso não recebam uma doação para caridade.
A operação de ransomware, apelidada de MalasLocker pelo BleepingComputer, começou a criptografar servidores Zimbra no final de março de 2023, com vítimas relatando em fóruns que seus e-mails foram criptografados.
Várias vítimas nos fóruns do Zimbra relataram a presença de arquivos suspeitos JSP carregados nas pastas /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public.
Quando criptografam as mensagens de e-mail, os arquivos não recebem uma extensão extra de nome de arquivo.
O MalasLocker cria notas de resgate nomeadas README.txt que exigem uma doação para uma organização de caridade aprovada pelos atores, em vez de um pagamento de resgate.
As notas de resgate contêm um endereço de e-mail ou uma URL TOR para entrar em contato com os atores.
O site de vazamento de dados do MalasLocker atualmente distribui dados roubados de três empresas e a configuração do Zimbra para outras 169 vítimas.
A criptografia usada é incomum, usando a ferramenta Age de Filippo Valsorda, que usa os algoritmos X25519, ChaChar20-Poly1305 e HMAC-SHA256.
Esta é uma criptografia pouco comum, com apenas algumas operações de ransomware a usando e nenhuma delas visando dispositivos Windows.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...