Ransomware MalasLocker está mirando servidores Zimbra e exigindo doações de caridade
18 de Maio de 2023

Uma nova operação de ransomware está hackeando servidores Zimbra para roubar e-mails e criptografar arquivos.

No entanto, em vez de exigir um pagamento de resgate, os atores ameaçam vazar os dados caso não recebam uma doação para caridade.

A operação de ransomware, apelidada de MalasLocker pelo BleepingComputer, começou a criptografar servidores Zimbra no final de março de 2023, com vítimas relatando em fóruns que seus e-mails foram criptografados.

Várias vítimas nos fóruns do Zimbra relataram a presença de arquivos suspeitos JSP carregados nas pastas /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public.

Quando criptografam as mensagens de e-mail, os arquivos não recebem uma extensão extra de nome de arquivo.

O MalasLocker cria notas de resgate nomeadas README.txt que exigem uma doação para uma organização de caridade aprovada pelos atores, em vez de um pagamento de resgate.

As notas de resgate contêm um endereço de e-mail ou uma URL TOR para entrar em contato com os atores.

O site de vazamento de dados do MalasLocker atualmente distribui dados roubados de três empresas e a configuração do Zimbra para outras 169 vítimas.

A criptografia usada é incomum, usando a ferramenta Age de Filippo Valsorda, que usa os algoritmos X25519, ChaChar20-Poly1305 e HMAC-SHA256.

Esta é uma criptografia pouco comum, com apenas algumas operações de ransomware a usando e nenhuma delas visando dispositivos Windows.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...