Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вымогатели MalasLocker требуют пожертвования вместо классического выкупа

18/05/23

hack49-May-18-2023-12-18-38-2861-PM

Новая вымогательская операция MalasLocker, активная с конца марта этого года, взламывает, похищает и шифрует данные на серверах Zimbra. Однако вместо того, чтобы требовать привычный денежный выкуп, хакерам достаточно пожертвования в благотворительные фонды, чтобы предоставить жертвам дешифратор и предотвратить утечку данных.

Многочисленные жертвы на форумах Zimbra сообщают о подозрительных файлах JSP, загруженных в папки «/opt/zimbra/jetty_base/webapps/zimbra/» или «/opt/zimbra/jetty/webapps/zimbra/public». Эти файлы были замечены под разными именами, включая info.jsp, noops.jsp и heartbeat.jsp, Startup1_3.jsp.

Исследователь безопасности MalwareHunterTeam сообщил, что к зашифрованным файлам добавляется сообщение «Этот файл зашифрован, ищите README.txt для получения инструкций по расшифровке».

При открытии вышеупомянутой записки README.txt можно обнаружить следующий текст: «В отличие от классических групп вымогателей, мы не просим вас присылать нам деньги. Мы просто не любим корпорации и экономическое неравенство. Мы просто просим вас сделать пожертвование некоммерческой организации, которую мы одобряем. Это беспроигрышный вариант, и вы, вероятно, сможете получить налоговый вычет и хороший пиар от вашего пожертвования», — говорится в записке MalasLocker.

Хотя записка о выкупе не содержит ссылки на сайт утечки данных банды вымогателей, исследователи всё же отыскали сайт. Главная страница сайта содержит длинное сообщение, заполненное смайликами, раскрывающее мотивы группы и повествующее о том, что данные киберпреступники — начинающие вымогатели, и нацелены в первую очередь на небольшие компании со слабой защитой.

«Мы — новая группа вымогателей, которая шифрует компьютеры компаний, чтобы попросить их пожертвовать деньги кому угодно. Мы просим их сделать пожертвование в некоммерческую организацию по их выбору, а затем сохранить полученное электронное письмо с подтверждением пожертвования и отправить его нам, чтобы мы могли проверить подпись DKIM, чтобы убедиться, что электронное письмо настоящее», — говорится на сайте утечки данных MalasLocker.

Это требование выкупа очень необычно и, по правде говоря, больше относит данную вымогательскую операцию к сфере хактивизма, пишут в Securitylab. В сети пока что довольно мало информации об этой группировке и их «благотворительной операции», поэтому неясно, сдержат ли хакеры своё слово после денежного перевода, однако сам подход у них поистине интересный.

Темы:ПреступленияВымогателиZimbra
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...