MalasLocker Ransomware
.png?v=1736855116)
Descripción del Ransomware
MalasLocker es un nuevo grupo de ransomware que surgió en marzo de 2023 y apunta a vulnerabilidades en los servidores Zimbra. El grupo utiliza el cifrado Age, que es una técnica de cifrado poco común desarrollada por Filippo Valsorda, un renombrado criptógrafo.
La nota de rescate dejada por MalasLocker exige un rescate inusual: en lugar de un pago monetario, se solicita a las víctimas que donen a cualquiera de las organizaciones benéficas sin fines de lucro aprobadas y envíen el correo electrónico de confirmación a los atacantes para fines de verificación. Además, el manifiesto del grupo de hackers afirma que no atacan a los países latinoamericanos.
El grupo ha compilado una lista de 169 víctimas a las que categorizó como “infractores” y amenaza con filtrar los datos si no se cumplen las demandas. MalasLocker parece elegir a las víctimas al azar y no hay evidencia de que su “servicio” de descifrado sea seguro de usar.
Vector de ataque
El principal vector de ataque del grupo MalasLocker es la explotación de una vulnerabilidad importante en Zimbra Collaboration Suite (ZCS), un software de colaboración y plataforma de correo electrónico alojado en la nube empresarial ampliamente utilizado. La principal vulnerabilidad explotada por el grupo es CVE-2022-24682, una falla descubierta en la función Calendario de Zimbra Collaboration Suite.
Ante estas amenazas potenciales, CISA ha emitido una advertencia y un posterior aviso sobre estas vulnerabilidades, instando a todas las organizaciones a tomar las medidas necesarias para proteger sus sistemas. Con estas vulnerabilidades conocidas y explotadas activamente, las organizaciones deben asegurarse de conocer los últimos parches y avisos de seguridad de Zimbra y las autoridades de ciberseguridad.
Recomendaciones
Indicadores de compromiso
| Tipo | Indicador |
| FileHash-MD5 | 0c8e88877383ccd23a755f429006b437 |
| FileHash-SHA1 | 69b3d913a3967153d1e91ba1a31ebed839b297ed |
| FileHash-SHA256 | a864282fea5a536510ae86c77ce46f7827687783628e4f2ceb5bf2c41b8cd3c6 |
| FileHash-SHA256 | 3f5a5f7d369edc3334897466aecc804983c6d61b037aab88e4f79cb1aaf75d83 |
| FileHash-SHA256 | 47ecddbe356229c69c3e39a822fd28a900333b5622264e015fc414ec25bc7915 |
Referencias
Referencias
https://socradar.io/dark-web-profile-malaslocker-ransomware/
https://www.watchguard.com/es/wgrd-security-hub/ransomware-tracker/malaslocker
https://www.salvagedata.com/malaslocker-ransomware/
https://hackmanac.com/news/malaslocker-the-robin-hood-of-the-ransomware-gangs
