Yeni bir fidye yazılımı operasyonu, e-postaları çalmak ve dosyaları şifrelemek için Zimbra sunucularını hackliyor. Bununla birlikte, tehdit aktörleri fidye ödemesi talep etmek yerine, bir şifreleyici sağlamak ve veri sızıntısını önlemek için hayır kurumlarına bağış yapılmasını talep ettiklerini iddia ediyor.
BleepingComputer tarafından MalasLocker olarak adlandırılan fidye yazılımı operasyonu, kurbanların hem BleepingComputer hem de Zimbra forumlarında e-postalarının şifrelenmiş olduğunu bildirmesiyle, Mart 2023’ün sonlarına doğru Zimbra sunucularını şifrelemeye başladı.
Zimbra forumlarındaki çok sayıda mağdur, /opt/zimbra/jetty_base/webapps/zimbra/ veya /opt/zimbra/jetty/webapps/zimbra/genel klasörlere yüklenmiş şüpheli JSP dosyaları bulduğunu bildirdi.
Bu dosyalar, info.jsp, noops.jsp ve heartbeat.jsp dahil olmak üzere farklı adlar altında bulundu. [VirusTotal]. Başlangıç1_3.jsp [VirusTotal]BleepingComputer’ın bulduğu, açık kaynaklı bir web kabuğunu temel alır.
Kaynak: BleepingComputer.com
E-posta mesajlarını şifrelerken, dosya adına ek bir dosya uzantısı eklenmez. Ancak güvenlik araştırmacısı Kötü Amaçlı Yazılım Avcısı Ekibi BleepingComputer’a, her şifrelenmiş dosyanın sonuna “Bu dosya şifrelenmiştir, şifre çözme talimatları için README.txt’yi arayın” mesajını eklediklerini söyledi.
Kaynak: BleepingComputer
Alışılmadık bir fidye talebi
Şifreleyici ayrıca, bir şifre çözücü almak ve çalınan verilerin sızmasını önlemek için alışılmadık bir fidye talebiyle gelen README.txt adlı fidye notları da oluşturacaktır: “onayladıkları” kar amacı gütmeyen bir hayır kurumuna bağış.
MalasLocker fidye notunda “Geleneksel fidye yazılımı gruplarının aksine, sizden bize para göndermenizi istemiyoruz. Biz yalnızca şirketlerden ve ekonomik eşitsizlikten hoşlanmıyoruz” diyor.
“Biz sadece onayladığımız kâr amacı gütmeyen bir kuruluşa bağışta bulunmanızı istiyoruz. Bu bir kazan-kazan durumu, isterseniz bağışınızdan muhtemelen bir vergi indirimi ve iyi bir PR elde edebilirsiniz.”
Kaynak: BleepingComputer
Fidye notları, tehdit aktörleriyle iletişim kurmak için bir e-posta adresi veya grup için en güncel e-posta adresini içeren bir TOR URL’si içerir. Notun alt kısmında ayrıca bir şifre çözücü almak için gerekli olan ve makalenin ilerleyen bölümlerinde daha ayrıntılı olarak inceleyeceğimiz Base64 kodlu bir metin bölümü vardır.
Fidye notları, fidye yazılımı çetesinin veri sızıntısı sitesine bir bağlantı içermese de, Emsisoft tehdit analisti Brett Callow “Somos malas… podemos ser peores” başlığının “Biz kötüyüz… daha kötü olabiliriz” anlamına gelen veri sızıntısı sitelerine bir bağlantı buldu.
MalasLocker veri sızıntısı sitesi şu anda üç şirket için çalınan verileri ve diğer 169 kurban için Zimbra yapılandırmasını dağıtıyor.
Veri sızıntısı sitesinin ana sayfası ayrıca neyi temsil ettiklerini ve ihtiyaç duydukları fidyeyi açıklayan emoji dolu uzun bir mesaj içeriyor.
MalasLocker veri sızıntısı sitesi, “Şirketlerin bilgisayarlarını şifreleyerek istedikleri kişiye para bağışlamalarını isteyen yeni bir fidye yazılımı grubuyuz” diyor.
“Kâr amacı gütmeyen bir kuruluşa kendi seçtikleri bir bağış yapmalarını ve ardından aldıkları bağışı onaylayan e-postayı kaydetmelerini ve e-postanın gerçek olduğundan emin olmak için DKIM imzasını kontrol edebilmemiz için bize göndermelerini istiyoruz.”
|
|
|
Bu fidye talebi çok sıra dışı ve eğer dürüstse, operasyonu daha çok bilgisayar korsanlığı alanına sokuyor.
Ancak BleepingComputer, bir kurban şifre çözücü için bir hayır kurumuna para bağışladığında tehdit aktörlerinin sözlerini tutup tutmadığını henüz belirlemedi.
Nadir Yaş şifrelemesi
BleepingComputer, MalasLocker işlemi için şifreleyiciyi bulamadı. Bununla birlikte, fidye notundaki Base64 kodlu blok, bir kurbanın özel şifre çözme anahtarının şifresini çözmek için gereken bir Age şifreleme aracı başlığının kodunu çözer.
age-encryption.org/v1
-> X25519 GsrkJHxV7l4w2GPV56Ja/dtKGnqQFj/qUjnabYYqVWY
nkEmdfk4CojS5sTtDHR9OtzElaZ8B0+1iLtquHyh6Hg
-> .7PM/-grease {0DS )2D'y,c BA
l/tjxov1fa12V8Imj8SfQ27INLwEg+AC2lX3ou4N8HAjtmu9cPV6xLQ
--- 7bAeZFny0Xk7gqxscyeDGDbHjsCvAZ0aETUUhIsXnygAge şifreleme aracı, Google’da kriptograf ve Go güvenlik lideri olan Filippo Valsorda tarafından geliştirildi ve X25519 (bir ECDH eğrisi), ChaChar20-Poly1305 ve HMAC-SHA256 algoritmalarını kullanıyor.
Bu, yalnızca birkaç fidye yazılımı işlemi kullanan ve tümü Windows cihazlarını hedeflemeyen nadir bir şifreleme yöntemidir.
İlki, 2020’de keşfedilen AgeLocker’dı ve diğeri, her ikisi de QNAP cihazlarını hedefleyen MalwareHunterTeam tarafından Ağustos 2022’de bulundu.
Ayrıca, QNAP kampanyasından ve AgeLocker’dan gelen fidye notları, en azından bu iki işlemi daha fazla birbirine bağlayan benzer bir dili paylaşıyor.
Bu, en iyi ihtimalle zayıf bir bağlantı olsa da, Windows dışı cihazların hedeflenmesi ve tüm bu fidye yazılımı işlemleri tarafından Yaş şifrelemesinin kullanılması, bunların birbiriyle ilişkili olduğunu gösterebilir.