Il ransomware rappresenta senza dubbio una delle più gravi e crescenti minacce alla sicurezza informatica.

Una delle varianti più recenti e singolari, chiamata MalasLocker, ha attirato l’attenzione non solo per la sua abilità di criptare dati e rubare email, ma anche per la sua insolita richiesta di riscatto: una donazione a un’organizzazione di beneficenza da loro approvata.
Questo ransomware si presenta come una sorta di Robin Hood nel mondo delle cybergang, ma le sue reali intenzioni e il suo impegno verso la causa dichiarata rimangono ancora avvolti nell’incertezza.

malaslocker ransomware
  1. Descrizione
  2. Modalità di attacco
  3. Strumenti e vulnerabilità sfruttate dal ransomware
  4. Implicazioni
  5. Malaslocker in Italia
  6. Prevenzione dall’attacco ransomware

Descrizione

MalasLocker è un tipo di ransomware emergente che si distingue per il suo insolito modello di richiesta di riscatto.
Invece di seguire la tradizionale richiesta di pagamento in criptovaluta, come fanno la maggior parte delle campagne di ransomware, MalasLocker chiede alle sue vittime di fare una donazione a enti di beneficenza specificati dagli attaccanti. Questo approccio unico ha sollevato discussioni nell’ambito della sicurezza informatica, con alcuni che vedono in queste azioni un tentativo di posizionarsi in una luce più “positiva”, nonostante continuino a svolgere attività criminali e dannose.

L’operazione MalasLocker è stata rilevata per la prima volta all’inizio di aprile 2023 e ha attirato l’attenzione per la sua tattica di estorsione non convenzionale e per i messaggi politici o di hacktivismo apparentemente legati alle sue attività. Il nome MalasLocker deriva dal sito di estorsione usato dagli operatori e dall’indirizzo email per comunicare con le vittime, che tradotto dallo spagnolo significa “Siamo cattivi… possiamo essere peggiori“.

Questo il testo della ransomware note:

Your files have been encrypted with AES military-grade encryption. Our cybersecurity experts will help you decrypt your files and secure your server from hackers. Contact us and we’ll provide a decrypter that will safely and quickly restore your files. Unlike other attempts to recover your files will be a waste of your time and money, and risk permanent data loss. Your files have been securely encrypted with AES, and the only way to decrypt is by sending us the contents of the “BEGIN AGE ENCRYPTED FILE” block below, which we can use to create a decrypter for you.

Unlike traditional ransomware groups, we’re not asking you to send us money. We just dislike corporations and economic inequality. We simply ask that you make a donation to a non-profit that we approve of. It’s a win-win, you can probably get a tax deduction and good PR from your donation if you want.

Our email contact is [email protected] If you don’t receive a reply within 24 hours, check your spam folder.

If you still haven’t received a reply, use Tor Browser (https://www.torproject.org/download/) to visit: http://malas2urovbyyavjzaezkt5ohljvydslt7vv7mnsgfb2y4bwlh72doqd.onion there will be posted our current contact information

—-BEGIN AGE ENCRYPTED FILE—-

Modalità di attacco

MalasLocker mira principalmente a server e infrastrutture aziendali, con una predilezione per i server Zimbra, una piattaforma di collaborazione e posta elettronica. Gli attaccanti utilizzano file JavaServer Pages (JSP) malevoli per guadagnare l’accesso e mantenere la persistenza nei sistemi infetti. Questi file agiscono come reverse shell, permettendo agli aggressori di eseguire comandi e controllare le macchine compromesse a distanza.

Una volta all’interno del sistema, MalasLocker cripta i file delle vittime, rendendoli inaccessibili senza la chiave di decrittazione. Sorprendentemente, non modifica l’estensione dei file, ma appende un messaggio che indica la crittografia e fornisce istruzioni per la decifratura nel file README.txt.

Strumenti e vulnerabilità sfruttate dal ransomware

MalasLocker sfrutta le vulnerabilità nei server Zimbra per infiltrarsi e diffondersi all’interno delle reti aziendali.
Utilizza inoltre strumenti di fuzzing come ffuf per scoprire punti deboli da sfruttare e l’innovativo strumento di crittografia age per bloccare i file.
Age è noto per il suo utilizzo di algoritmi avanzati che rendono la crittografia particolarmente robusta. Questo strumento fa uso di algoritmi di crittografia X25519 (una curva ECDH), ChaCha20-Poly1305 e HMAC-SHA256.

Il ransomware potrebbe sfruttare vulnerabilità:

  • CVE-2022-27924 (iniezione di comandi Zimbra memcache),
  • CVE-2022-27925 (traversamento directory amministrativa Zimbra),
  • CVE-2022-30333 (traversamento directory UnRAR Linux/UNIX)
  • CVE-2022-37042 (bypass autenticazione Zimbra, esecuzione remota di codice)

ma si tratta di ipotesi e di informazioni che ancora non sono state confermate.

Implicazioni

Sebbene MalasLocker si presenti con un’aura di hacktivismo, chiedendo donazioni a enti di beneficenza piuttosto che pagamenti diretti, le sue azioni restano fermamente nel campo del crimine informatico. L’attacco e la crittografia dei dati aziendali causano interruzioni significative, perdite finanziarie e potenziali rischi per la privacy e la sicurezza dei dati.

Malaslocker in Italia

Secondo i dati raccolti da ESET, MalasLocker ha colpito almeno 50 aziende in Italia tra marzo e ottobre 2023.
Questa minaccia ha colpito principalmente piccole e medie imprese, con una prevalenza nel settore manifatturiero, che rappresenta il 27% delle vittime.
Altre industrie colpite includono l’istruzione (17%), il commercio (15%) e i servizi (14%).

Ciò che rende MalasLocker ancora più straordinario è la sua richiesta di donazioni a varie organizzazioni di beneficenza,
tra cui la Croce Rossa Italiana, Save the Children e l’UNICEF.

Per comprendere appieno il quadro, esaminiamo alcuni esempi di attacchi di MalasLocker in Italia: Tuttavia, è importante sottolineare che questi dati rappresentano solo una stima approssimativa, poiché è notoriamente difficile tenere traccia di tutti gli attacchi ransomware.

Prevenzione dall’attacco ransomware

Proteggersi da MalasLocker può sembrare un’impresa, ma con qualche accortezza si può dormire sonni tranquilli:

  • Aggiornamenti: mantieni software e sistemi aggiornati.
    Le patch di sicurezza sono come vaccini contro le vulnerabilità.
  • Educazione al phishing: prepara il tuo team a riconoscere le email ingannevoli.
    È più facile evitare una trappola quando sai cosa aspettarti.
  • Segmentazione di rete: isola i diversi segmenti della tua rete; se un’area viene compromessa, le altre restano protette.
  • Antivirus: un buon antivirus aggiornato è come un guardiano per i tuoi dati.
    Non sottovalutare il suo valore.
  • Privilegi limitati: meno accesso hai, meno rischi corri.
    Usa il principio del privilegio minimo per utenti e applicazioni.
  • Monitoraggio della rete: tieni d’occhio il traffico di rete. Come un radar, ti avvisa di movimenti sospetti.
  • Sicurezza della posta elettronica: fortifica le tue email con filtri e protezioni anti-phishing. Spesso è il primo bersaglio degli attacchi.
  • Analisi periodiche: fai check-up regolari per scovare debolezze prima che gli hacker le sfruttino.

È un po’ come prepararsi per una tempesta: con le giuste misure preventive, puoi affrontare anche il peggior tempo.