佛心駭客入侵　不為牟利只求慈善捐款

編譯／鄭智懷

資安專家近期調查發現，新興勒索軟體組織MalasLocker在今（2023）年3越多次入侵Zimbra伺服器，盜取並加密設備中儲存的資料。然而，相較於其他網路犯罪者以牟利為主要目標，MalasLocker卻要求受害者向慈善單位捐款，就可獲得解密器及避免數據公開外流。

據網路媒體《BleepingComputer》報導，多名遭受MalasLocker入侵的受害者向Zimbra與《BleepingComputer》反映，其電子郵件被MalasLocker加密，無法使用。綜合相關資訊指出，在「/opt/zimbra/jetty_base/webapps/zimbra/」與「/opt/zimbra/jetty/webapps/zimbra/public」文件夾中發現以「.JSP」結尾，例如「info.jsp」、「noops.jsp」、「heartbeat.jsp」和「Startup1_3.jsp

 」等各式可疑檔案。

專門蒐羅惡意程式的資安團隊Malware Hunter Team表示，被加密的電子郵件並不會增加附檔名；但是在每個加密檔案的結尾會附加「該檔案已加密，搜尋「README.txt」以獲取解密說明」之訊息。

據報導，「README.txt」是攻擊者所提供的贖金票據，其中要求受害者向指定的慈善單位捐款，就可以獲得解密器及避免數據公開外流。MalasLocker在票據中聲稱，「不會要求你向我們匯款，我們只是不喜歡公司與經濟不平等」；「我們要你向我們核准的非營利組織捐款。」「只要你願意（捐款），就可以從中獲得減稅與良好名聲，形成雙贏。」

在MalasLocker官方網站上，該組織同樣聲稱其加密各公司檔案的目的是為了「要求他們捐錢給所有需要的人」。另外，官方網站上已經公開三家公司外流資料，已及169名受害人的Zimbra伺服器設定。

網路媒體《BleepingComputer》旗下資安團隊指出，目前還未找出可證明MalasLocker確實是為慈善目的發起攻擊活動，以及證實受害者捐款後，該組織真的信守承諾，提供解密器之相關證據。

資料來源：BleepingComputer

瀏覽 841 次