MalasLocker ransomware apunta a servidores Zimbra, exige "donación de caridad"

Una nueva operación de ransomware está hackeando servidores Zimbra para robar correos electrónicos y cifrar archivos. Sin embargo, en lugar de exigir un pago de rescate, los actores de amenazas afirman requerir una donación a la caridad para proporcionar un cifrado y evitar la fuga de datos.

La operación de ransomware, denominada MalasLocker por BleepingComputer, comenzó a cifrar los servidores Zimbra hacia fines de marzo de 2023, y las víctimas informaron en los foros de BleepingComputer y Zimbra que sus correos electrónicos estaban encriptados.

Numerosas víctimas en los foros de Zimbra informan haber encontrado archivos JSP sospechosos cargados en las carpetas /opt/zimbra/jetty_base/webapps/zimbra/ o /opt/zimbra/jetty/webapps/zimbra/public.

Estos archivos se encontraron con diferentes nombres, incluidos info.jsp, noops.jsp y heartbeat.jsp [VirusTotal]. Startup1_3.jsp [VirusTotal], que encontró BleepingComputer, se basa en una consola web de código abierto.


Al cifrar mensajes de correo electrónico, no se agrega ninguna extensión de archivo adicional al nombre del archivo. Sin embargo, el investigador de seguridad MalwareHunterTeam le dijo a BleepingComputer que agregan un mensaje "Este archivo está cifrado, busque README.txt para obtener instrucciones de descifrado" al final de cada archivo cifrado.


No está claro en este momento cómo los actores de amenazas están violando los servidores Zimbra.

Una demanda de rescate inusual

El encriptador también creará notas de rescate llamadas README.txt que vienen con una demanda de rescate inusual para recibir un descifrador y evitar la filtración de datos robados: una donación a una organización benéfica sin fines de lucro que "aprueban".

"A diferencia de los grupos tradicionales de ransomware, no le pedimos que nos envíe dinero. Simplemente no nos gustan las corporaciones y la desigualdad económica", dice la nota de rescate de MalasLocker.

"Simplemente le pedimos que haga una donación a una organización sin fines de lucro que aprobamos. Es un ganar-ganar, probablemente pueda obtener una deducción de impuestos y buenas relaciones públicas de su donación si lo desea".


Las notas de rescate contienen una dirección de correo electrónico para contactar a los actores de la amenaza o una URL TOR que incluye la dirección de correo electrónico más reciente para el grupo. La nota también tiene una sección de texto codificado en Base64 en la parte inferior que se requiere para recibir un descifrador, que entraremos en más detalle más adelante en el artículo.

Si bien las notas de rescate no contienen un enlace al sitio de fuga de datos de la pandilla de ransomware, el analista de amenazas de Emsisoft, Brett Callow, encontró un enlace a su sitio de fuga de datos, con el título "Somos malas ... podemos ser peores", traducido a, "Somos malos... Podemos ser peores".

El sitio de fuga de datos MalasLocker actualmente distribuye los datos robados para tres compañías y la configuración Zimbra para otras 169 víctimas.

La página principal del sitio de fuga de datos también contiene un largo mensaje lleno de emojis que explica lo que representan y los rescates que requieren.

"Somos un nuevo grupo de ransomware que ha estado cifrando las computadoras de las empresas para pedirles que donen dinero a quien quieran", se lee en el sitio de fuga de datos MalasLocker.

"Les pedimos que hagan una donación a una organización sin fines de lucro de su elección, y luego guarden el correo electrónico que reciben confirmando la donación y nos lo envien para que podamos verificar la firma DKIM para asegurarnos de que el correo electrónico sea real".


Esta demanda de rescate es muy inusual y, si es honesta, pone la operación más en el ámbito del hacktivismo.

Sin embargo, BleepingComputer aún tiene que determinar si los actores de amenazas están cumpliendo su palabra cuando una víctima dona dinero a una organización benéfica para un descifrador.

Cifrado de Age poco común


BleepingComputer no ha podido encontrar el cifrado para la operación MalasLocker. Sin embargo, el bloque codificado Base64 en la nota de rescate decodifica a un encabezado de herramienta de cifrado Age requerido para descifrar la clave de descifrado privada de una víctima.


La herramienta de cifrado Age fue desarrollada por Filippo Valsorda, criptógrafo y líder de seguridad de Go en Google, y utiliza los algoritmos X25519 (una curva ECDH), ChaChar20-Poly1305 y HMAC-SHA256.

Este es un método de cifrado poco común, con solo unas pocas operaciones de ransomware que lo usan, y todas ellas no están dirigidas a dispositivos Windows.

El primero fue AgeLocker, descubierto en 2020 y el otro fue encontrado por MalwareHunterTeam en agosto de 2022, ambos dirigidos a dispositivos QNAP.


Además, las notas de rescate de la campaña de QNAP y AgeLocker comparten un lenguaje similar, vinculando aún más esas dos operaciones al menos.

Si bien este es un eslabón débil en el mejor de los casos, la orientación de dispositivos que no son Windows y el uso del cifrado Age por todas estas operaciones de ransomware podrían indicar que están relacionados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta