Fidye yazılımı saldırıları için Zimbra sunucularını istismar ederken tespit edildikten günler sonra, MalasLocker fidye yazılımı çetesi bir liste derledi. 169 kurban “Varsayılanlar” olarak kategorize ettikleri kişiler. Grup ayrıca söz konusu “varsayılanlar” için “basit bir anlaşma” sunan bir mesaj bıraktı.
İsimler grubun sayfasında yayınlandı. karanlık ağ kanal, listelenen kurbanlara saldırdıklarını belirtir.
Listenin yanı sıra mağdurlar için “Biz basit bir anlaşma sunuyoruz, siz ödeyin, şifre çözücü alın, sizi unutalım ve sorunlarınız çözülsün” yazan bir mesaj da okundu.
“Bir sorunu görmezden gelmek onu çözmez. Şifre çözücü olmadan yedeklerinizden geri yüklemek de sorunu çözmez.”
“Verilerinizin satılmasını veya yayınlanmasını istemiyorsanız ve gazeteciler ve müşterileriniz yükümlülüklerinizi yerine getirmediğinizi fark etmiyorsa,” mesajı, talepler karşılanmazsa verileri sızdırma tehdidiyle sona erdi.
Ayrıca, MalasLocker fidye yazılımı çetesinin, standart fidye yazılımı prosedürlerinden saparak, fidye ödemelerinin hayır kurumlarına yatırılmasını istediği bildiriliyor.
Tehdit aktörü, Mart 2023’ün sonundan beri acımasızca Zimbra sunucularını hedef aldığı “MalasVault” adlı bir fidye yazılımı kampanyasıyla da bağlantılı.
MalasLocker fidye yazılımı çetesinin hassas e-postaları sızdırmayı ve dosyaları şifrelemeyi amaçladığı ve ek 69 kurbanın Zimbra yapılandırmalarını tehlikeye atmanın yanı sıra üç şirketin daha verilerini dağıttığı bildiriliyor.
MalasLocker fidye yazılımı çete fidye talebi teknikleri
MalasLocker fidye yazılımı çetesinin benzersiz bir işleyiş tarzı var gibi görünüyor. MalasLocker, geleneksel fidye talep etme yoluna gitmek yerine, kurbanlarını miktarı hayır kurumlarına bağışlamaya zorluyor.
Grubun yaklaşımı ilk olarak Mart 2023’te birkaç kurban, /opt/zimbra/jetty_base/webapps/zimbra/ ve /opt/zimbra/jetty/webapps/zimbra/public dahil olmak üzere Zimbra sunucularının belirli klasörlerinde şüpheli JSP dosyaları bulduğunda kaydedildi. Bu dosyalar, info.jsp, loops.jsp ve heartbeat.jsp gibi çeşitli isimler altında tanımlandı.
Fidye notunu analiz eden kullanıcılar, README.txt adlı metin dosyalarından birinin tehdit aktörlerinden benzersiz bir talep içerdiğini fark etti: kurbanlardan parasal bir ödeme yerine, seçtikleri kar amacı gütmeyen bir hayır kurumuna bağışta bulunmaları istendi.
LazyLocker fidye yazılımı çetesi: İşleyiş biçimleri
MalasLocker tarafından kullanılan şifreleme yöntemi, Google’da ünlü bir kriptograf ve Go güvenlik lideri olan Filippo Valsorda tarafından geliştirilen Age şifrelemesini kullanır.
Yaş şifrelemesi, X25519 (ECDH eğrisi), ChaChar20-Poly1305 ve HMAC-SHA256 gibi gelişmiş algoritmalar kullanır.
Bu şifreleme yöntemi, fidye yazılımı operasyonları tarafından nadiren kullanılır ve MalasLocker’ın özellikle Windows dışı sistemleri hedef aldığını belirtmekte fayda var.
MalasLocker tarafından bırakılan fidye notları, birçok fidye yazılımı grubu arasında yaygın bir uygulama olan bir veri sızıntısı sitesine bağlantı içermez.
Ancak siber güvenlik analisti Brett Callow Emsisoft, “Somos malas… podemos ser peores” (çeviri: “Biz kötüyüz… daha kötü olabiliriz”) başlıklı bir bağlantıyı ortaya çıkarmayı başardı.
Fidye notu, tehdit aktörünün sahip olduğundan daha fazla veriye erişebileceğini ve yardım talepleri karşılanmazsa ifşa edebileceğini gösteriyor.
Cyber Express ekibi, tehdit aktörü tarafından listelenen şirketlere ulaştı. Ancak, bu yazıyı yazarken herhangi bir resmi yanıt almıştık.
Ancak, kurban olduğu iddia edilenlerin web sitelerinin çoğu iyi çalışıyor gibi görünüyor ve siber saldırı belirtisi göstermiyor, bu da tehdidin verilere erişebileceği ancak web sitelerinin operasyonlarına henüz saldırmadığı anlamına geliyor.
MalasLocker fidye yazılımı çetesi ve siber saldırılara yaklaşımları, siber güvenlik ve tehdit aktörlerinin uçsuz bucaksız dünyasını öne çıkarıyor.
Kendi felsefesi olan her bir tehdit aktörü ile işletmelerin ve şirketlerin siber becerilerini güçlendirmeleri ve kendilerini fidye yazılımı grupları ve fidye yazılımı saldırılarının neden olduğu aksaklıklarla mücadele etmeye hazırlamaları gerekiyor.