Operasi ransomware baru meretas server Zimbra untuk mencuri email dan mengenkripsi file. Namun, alih-alih meminta pembayaran uang tebusan, pelaku ancaman mengklaim meminta sumbangan untuk amal guna menyediakan enkripsi dan mencegah kebocoran data.
Operasi ransomware, yang dijuluki MalasLocker oleh BleepingComputer, mulai mengenkripsi server Zimbra menjelang akhir Maret 2023, dengan korban yang melaporkan di kedua BleepingComputer Dan forum Zimbra bahwa email mereka dienkripsi.
Banyak korban di forum Zimbra melaporkan menemukan file JSP mencurigakan yang diunggah ke folder /opt/zimbra/jetty_base/webapps/zimbra/ atau /opt/zimbra/jetty/webapps/zimbra/public.
File-file ini ditemukan dengan nama yang berbeda, termasuk info.jsp, noops.jsp, dan detak jantung.jsp [VirusTotal]. Startup1_3.jsp [VirusTotal]yang ditemukan BleepingComputer, didasarkan pada sebuah webshell sumber terbuka.
Sumber: BleepingComputer.com
Saat mengenkripsi pesan email, tidak ada ekstensi file tambahan yang ditambahkan ke nama file. Namun, peneliti keamanan Tim Pemburu Malware memberi tahu BleepingComputer bahwa mereka menambahkan pesan “File ini dienkripsi, cari README.txt untuk instruksi dekripsi” di akhir setiap file yang dienkripsi.
Sumber: BleepingComputer
Permintaan tebusan yang tidak biasa
Enkripsi juga akan membuat catatan tebusan bernama README.txt yang datang dengan permintaan tebusan yang tidak biasa untuk menerima dekripsi dan mencegah bocornya data yang dicuri: sumbangan untuk amal nirlaba yang mereka “setujui”.
“Tidak seperti kelompok ransomware tradisional, kami tidak meminta Anda mengirimkan uang kepada kami. Kami hanya tidak menyukai perusahaan dan ketidaksetaraan ekonomi,” bunyi catatan tebusan MalasLocker.
“Kami hanya meminta Anda memberikan donasi ke organisasi nirlaba yang kami setujui. Ini sama-sama menguntungkan, Anda mungkin bisa mendapatkan potongan pajak dan PR yang baik dari donasi Anda jika Anda mau.”
Sumber: BleepingComputer
Catatan tebusan berisi alamat email untuk menghubungi pelaku ancaman atau URL TOR yang menyertakan alamat email terbaru untuk grup tersebut. Catatan itu juga memiliki bagian teks yang disandikan Base64 di bagian bawah yang diperlukan untuk menerima dekripsi, yang akan kita bahas lebih detail nanti di artikel.
Sementara catatan tebusan tidak berisi tautan ke situs kebocoran data geng ransomware, analis ancaman Emsisoft Brett Callow menemukan tautan ke situs kebocoran data mereka, dengan judul, “Somos malas… podemos ser peores,” diterjemahkan menjadi, “Kami jahat… kami bisa lebih buruk.”
Situs kebocoran data MalasLocker saat ini mendistribusikan data yang dicuri untuk tiga perusahaan dan konfigurasi Zimbra untuk 169 korban lainnya.
Halaman utama situs kebocoran data itu juga berisi pesan panjang berisi emoji yang menjelaskan apa yang mereka perjuangkan dan uang tebusan yang mereka butuhkan.
“Kami adalah grup ransomware baru yang telah mengenkripsi komputer perusahaan untuk meminta mereka menyumbangkan uang kepada siapa pun yang mereka inginkan,” demikian bunyi situs kebocoran data MalasLocker.
“Kami meminta mereka memberikan donasi ke organisasi nirlaba pilihan mereka, lalu menyimpan email yang mereka terima untuk mengonfirmasi donasi dan mengirimkannya kepada kami sehingga kami dapat memeriksa tanda tangan DKIM untuk memastikan email tersebut asli.”
|
|
|
Tuntutan tebusan ini sangat tidak biasa dan, jika jujur, menempatkan operasinya lebih ke ranah hacktivisme.
Namun, BleepingComputer belum menentukan apakah pelaku ancaman menepati janjinya ketika korban menyumbangkan uang untuk amal bagi dekripsi.
Enkripsi Usia yang tidak biasa
BleepingComputer belum dapat menemukan enkripsi untuk operasi MalasLocker. Namun, blok yang disandikan Base64 dalam catatan tebusan diterjemahkan menjadi header alat enkripsi Usia yang diperlukan untuk mendekripsi kunci dekripsi pribadi korban.
age-encryption.org/v1
-> X25519 GsrkJHxV7l4w2GPV56Ja/dtKGnqQFj/qUjnabYYqVWY
nkEmdfk4CojS5sTtDHR9OtzElaZ8B0+1iLtquHyh6Hg
-> .7PM/-grease {0DS )2D'y,c BA
l/tjxov1fa12V8Imj8SfQ27INLwEg+AC2lX3ou4N8HAjtmu9cPV6xLQ
--- 7bAeZFny0Xk7gqxscyeDGDbHjsCvAZ0aETUUhIsXnygAlat enkripsi Age dikembangkan oleh Filippo Valsorda, kriptografer dan pimpinan keamanan Go di Google, dan menggunakan X25519 (kurva ECDH), ChaChar20-Poly1305, dan algoritme HMAC-SHA256.
Ini adalah metode enkripsi yang tidak biasa, dengan hanya beberapa operasi ransomware yang menggunakannya, dan semuanya tidak menargetkan perangkat Windows.
Yang pertama adalah AgeLockerditemukan pada tahun 2020 dan yang lainnya ditemukan oleh MalwareHunterTeam pada Agustus 2022, keduanya menargetkan perangkat QNAP.
Selain itu, catatan tebusan dari kampanye QNAP dan AgeLocker memiliki bahasa yang sama, setidaknya menghubungkan kedua operasi tersebut.
Meskipun ini adalah tautan yang lemah, penargetan perangkat non-Windows dan penggunaan enkripsi Age oleh semua operasi ransomware ini dapat menunjukkan bahwa keduanya terkait.
