Mart 2023’ten beri aktif olan Kötü şöhretli MalasLocker Ransomware, Zimbra sunucularını hedef alıyor ve Fidye yerine hayır kurumu bağışları talep ediyor.
Bu grup çoğunlukla İtalya, Rusya ve Amerika Birleşik Devletleri çevresinde ticari hizmetler, yazılım ve Üretim hizmetleri sağlayan kurumsal şirketleri hedefler.
.png
)
SOC Radar raporuna göre, kurumsal varlıklardan ve ekonomik eşitsizlikten hoşlanmadıklarını iddia ediyorlar ve anlaşmaları, veri sızıntısını önlemek için dosyanın şifresini çözmek için basit.
Malas Fidye Yazılımı Saldırısı:
Tehdit aktörü, Zimbra kullanıcılarına kötü amaçlı JSP belgelerinin gönderildiği kimlik avı e-postaları aracılığıyla kurbanları hedefler.
Zimbra, öncelikle kuruluşlar tarafından aşağıdakiler için kullanılan açık kaynaklı bir yazılım paketidir: e-posta barındırma, olay planlama, görev yönetimi ve dosya paylaşımı.
Bu şüpheli JSP dosyaları kalp atışı.jsp, bilgi.jsp, Startup1_3.jsp gibi belirli dizinlere yüklenir. /opt/zimbra/jetty_base/webapps/zimbra/ veya /opt/zimbra/jetty/webapps/zimbra/genel klasörler
Zimbra kullanıcısı kötü amaçlı dosyayı yürüttüğünde, saldırgan daha sonraki işlemler için yüklenen dosyaya Zimbra’nın genel dizininden erişecektir.
Buna ek olarak tehdit aktörleri, CVE-2022-27924 (Zimbra memcache komut enjeksiyonu), CVE-2022-27925 (Zimbra yönetici dizini geçişi), CVE-2022-30333 (UnRAR Linux/UNIX) gibi Zimbra sunucularıyla ilişkili güvenlik açıklarından yararlanır. dizin geçişi) ve CVE-2022-37042 (Zimbra kimlik doğrulama atlaması, uzaktan kod yürütme).
Grup, dosyaları şifrelemek için “AGE” şifreleme aracını kullanır ve dosyalara herhangi bir uzantı eklemez, raporu okur.
Malas fidye yazılımından etkilenen 160 kurbanın listesini yayınladıkları ve gizlilik amacıyla şirketin adının görüntüsünü sansürledikleri bir TOR web sitesine ev sahipliği yapıyorlar.
TOR web sitesindeki karşılama selamlamasından, İspanyolca “biz kötüyüz… daha da kötü olabiliriz” gibi bir sloganı olan İspanyol merkezli bir tehdit grubu oldukları açıkça görülüyor.
Readme.txt dosyasındaki fidye notu, şifre çözme araçlarını göndermek için hayır kurumu bağışları talep eder ve ayrıca iletişim bilgilerini sağlayarak onlara nasıl ulaşılacağına rehberlik eder.
önleme:
Diğer tehdit gruplarının aksine, malas fidye yazılımı taktikleri ve teknikleri açısından benzersizdir. MalasLocker Fidye Yazılımı vektörüne yönelik saldırıları belirsiz olduğundan ve Zimbra sunucusunu hedef aldığından, saldırıdan kaçınmak için daha iyi uygulama uygulamaya yama uygulamak ve onu en son sürüme güncellemektir.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.