MalasLocker: „Charitativní“ ransomware útočí na firemní servery

Zpět na blog

Kybernetická bezpečnost se často zabývá otázkou etiky a motivace útočníků, a zatímco většina kybernetických útoků je motivovány finančním ziskem, MalasLocker přichází s neobvyklým přístupem – místo požadování výkupného pro sebe, tato skupina vyzývá své oběti k příspěvku na charitativní organizaci.

Zdá se, že skupina MalasLocker spustila svou kampaň v březnu 2023 a zaměřila se na servery Zimbra. Její metoda útoku zahrnuje šifrování souborů na serverech a požadování výkupného v podobě příspěvku na charitu. Útočníci však zatím neobjasnili, jak se jim podařilo kompromitovat tyto servery, a není jasné, zda použili nějaké zranitelnosti nultého dne nebo specifický malware.

Skupina MalasLocker zřejmě pochází ze španělsky mluvící země, protože její stránka, kterou objevil výzkumník kybernetické bezpečnosti ze společnosti Emsisoft Brett Callow, nese název „Somos malas… podemos ser peores“ („Jsme špatní… můžeme být horší“). Skupina zatím uveřejnila citlivé údaje patřící třem napadeným organizacím a také konfigurace Zimbry 169 dalších obětí.

Jakmile prolomí servery a zašifrují soubory, zanechají neobvyklou zprávu: „Na rozdíl od tradičních skupin ransomwaru po vás nežádáme, abyste nám poslali peníze. Jen nemáme rádi korporace a ekonomickou nerovnost,“ uvádějí. „Prostě vás žádáme, abyste přispěli neziskové organizaci, kterou schvalujeme. Je to výhodné pro obě strany, pokud chcete, můžete si dar pravděpodobně odečíst z daní a získat dobré PR.“

Na stránkách skupiny, kde jsou zveřejňovány kompromitované informace, se objevuje podobné sdělení (zásadní rozdíl je však v tom, že zde skupina tvrdí, že výběr organizace/charity, je na oběti): „Jsme nová skupina ransomwaru, která šifruje počítače firem a žádá je, aby darovaly peníze komukoli,“ píše se v něm. „Žádáme je, aby přispěli neziskové organizaci podle svého výběru a poslali nám potvrzením o daru, abychom mohli zkontrolovat podpis DKIM a ujistit se, že je e-mail pravý.“

Je však důležité poznamenat, že nebylo dosud potvrzeno, zda útočníci skutečně poskytují dešifrovací klíče obětem, které na jejich podmínky přistoupily. Je tedy možné, že ačkoli MalasLocker tvrdí, že jsou jejich motivy velice ušlechtilé, nakonec působí stejnou škodu jako tradiční ransomwarové skupiny.

Tento případ je důkazem toho, jak složitá a nepředvídatelná může být kybernetická bezpečnost, a ukazuje, že organizace musí být neustále připraveny na nové a neobvyklé hrozby.

Zdroj: BleepingComputer

Zdroj ilustračního obrázku: Pete Linforth from Pixabay

29. 5. 2023