MalasLocker: Nuevo ransomware ataca a Servidores Zimbra

Los servidores Zimbra han sido blanco de la novedosa operación de ransomware MalasLocker para la exfiltración de correo electrónico y el cifrado de archivos, informa BleepingComputer. Aunque sigue sin saberse con certeza cómo los servidores se han visto comprometidos, se ha descubierto que la banda solicita donaciones a una organización benéfica como pago del rescate.

Una nueva operación de ransomware está atacando servidores Zimbra para robar correos electrónicos y cifrar archivos. Sin embargo, en lugar de exigir el pago de un rescate directo, los autores de la amenaza afirman que piden una donación a una organización benéfica para proporcionar un cifrador y evitar la filtración de datos.

La operación de ransomware, denominada MalasLocker por BleepingComputer, comenzó a cifrar los servidores de Zimbra a fines de marzo de 2023, y las víctimas informaron en los foros de BleepingComputer y Zimbra que sus correos electrónicos estaban cifrados. Además, en los foros informan haber encontrado archivos JSP sospechosos cargados en las carpetas /opt/zimbra/jetty_base/webapps/zimbra/ o /opt/zimbra/jetty/webapps/zimbra/public.

Estos archivos se encontraron con diferentes nombres, incluidos info.jsp, noops.jsp y heartbeat.jsp. Startup1_3.jsp, archivo encontrado por BleepingComputer, se basa en un webshell de código abierto.

Fig. Archivo Heartbeat.jsp, webshell encontrado en un Servidor Zimbra vulnerado. (Fuente: bleepingcomputer.com)

Al cifrar mensajes de correo electrónico, no se agrega ninguna extensión adicional al nombre del archivo. Sin embargo, el equipo de investigación de ciberseguridad MalwareHunterTeam menciona que agregan un mensaje «Este archivo está encriptado, busque README.txt para obtener instrucciones de descifrado» al final de cada archivo cifrado.

Fig. Análisis de archivo encriptado por MalasLocker. (Fuente: bleepingcomputer.com)

Actualmente no está claro el cómo los actores de amenazas están violando los servidores de Zimbra, pero se presumen que podría ser a través de la explotación de las vulnerabilidades CVE-2022-27924, CVE-2022-27925, CVE-2022-30333 y CVE-2022-37042.

Modus Operandi del ransomware MalasLocker

El equipo de ciberseguridad BleepingComputer afirma que no ha podido encontrar el encriptador de la operación MalasLocker. Sin embargo, el bloque codificado en Base64 de la nota de rescate descodifica a un encabezado de herramienta de cifrado Age necesario para descifrar la clave de descifrado privada de la víctima.

La herramienta de cifrado Age fue desarrollada por Filippo Valsorda, criptógrafo y responsable de seguridad Go en Google, y utiliza los algoritmos X25519 (una curva ECDH), ChaChar20-Poly1305 y HMAC-SHA256. Se trata de un método de cifrado poco común, ya que sólo unos pocos ransomware lo utilizan, y todos ellos están dirigidos a dispositivos no-basados en Windows.

IoC

Fig. 4. Exfiltración de información mediante SMTP. (Fuente: welivesecurity.com)

Las notas de rescate contienen una dirección de correo electrónico para ponerse en contacto con los autores de la amenaza o una URL TOR que incluye la dirección de correo electrónico más reciente del grupo. La nota también tiene una sección de texto codificado en Base64 en la parte inferior que se requiere para recibir un descifrador, que veremos con más detalle más adelante en el artículo.

Aunque las notas de rescate no contienen un enlace al sitio de fuga de datos de la banda de ransomware, el analista de amenazas de Emsisoft Brett Callow encontró un enlace a su sitio de fuga de datos, que tiene el título «Somos malas… podemos ser peores».

El sitio de fuga de datos de MalasLocker distribuye actualmente los datos robados de tres empresas y la configuración de Zimbra de otras 169 víctimas.

La página principal del sitio de fuga de datos también contiene un largo mensaje lleno de emoji que explica lo que representan y los rescates que piden.

«Somos un nuevo grupo de ransomware que ha estado cifrando ordenadores de empresas para pedir que donen dinero a quien ellos quieran», se lee en el sitio de filtración de datos de MalasLocker.

«Les pedimos que hagan una donación a una organización sin ánimo de lucro de su elección, y que luego guarden el correo electrónico que reciben confirmando la donación y nos lo envíen para que podamos comprobar la firma DKIM y asegurarnos de que el correo electrónico es real».

Referencia:

https://thecyberexpress.com/malaslocker-ransomware-gang-lists-169-victims/

Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

Síguenos
Suscríbete

Recibe nuestro boletín para mantenerte actualizado