Uma nova operação de ransomware está hackeando servidores Zimbra para roubar e-mails e criptografar arquivos.
No entanto, em vez de exigir um pagamento de resgate, os atores ameaçam vazar os dados caso não recebam uma doação para caridade.
A operação de ransomware, apelidada de MalasLocker pelo BleepingComputer, começou a criptografar servidores Zimbra no final de março de 2023, com vítimas relatando em fóruns que seus e-mails foram criptografados.
Várias vítimas nos fóruns do Zimbra relataram a presença de arquivos suspeitos JSP carregados nas pastas /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public.
Quando criptografam as mensagens de e-mail, os arquivos não recebem uma extensão extra de nome de arquivo.
O MalasLocker cria notas de resgate nomeadas README.txt que exigem uma doação para uma organização de caridade aprovada pelos atores, em vez de um pagamento de resgate.
As notas de resgate contêm um endereço de e-mail ou uma URL TOR para entrar em contato com os atores.
O site de vazamento de dados do MalasLocker atualmente distribui dados roubados de três empresas e a configuração do Zimbra para outras 169 vítimas.
A criptografia usada é incomum, usando a ferramenta Age de Filippo Valsorda, que usa os algoritmos X25519, ChaChar20-Poly1305 e HMAC-SHA256.
Esta é uma criptografia pouco comum, com apenas algumas operações de ransomware a usando e nenhuma delas visando dispositivos Windows.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...