Благотворительный рэкет: почему вымогатели требуют пожертвования вместо классического выкупа?

Новая вымогательская операция MalasLocker, активная с конца марта этого года, взламывает, похищает и шифрует данные на серверах Zimbra. Однако вместо того, чтобы требовать привычный денежный выкуп, хакерам достаточно пожертвования в благотворительные фонды, чтобы предоставить жертвам дешифратор и предотвратить утечку данных.

Многочисленные жертвы на форумах Zimbra сообщают о подозрительных файлах JSP, загруженных в папки «/opt/zimbra/jetty_base/webapps/zimbra/» или «/opt/zimbra/jetty/webapps/zimbra/public». Эти файлы были замечены под разными именами, включая info.jsp, noops.jsp и heartbeat.jsp, Startup1_3.jsp.

Исследователь безопасности MalwareHunterTeam сообщил, что к зашифрованным файлам добавляется сообщение «Этот файл зашифрован, ищите README.txt для получения инструкций по расшифровке».

При открытии вышеупомянутой записки README.txt можно обнаружить следующий текст: «В отличие от классических групп вымогателей, мы не просим вас присылать нам деньги. Мы просто не любим корпорации и экономическое неравенство. Мы просто просим вас сделать пожертвование некоммерческой организации, которую мы одобряем. Это беспроигрышный вариант, и вы, вероятно, сможете получить налоговый вычет и хороший пиар от вашего пожертвования», — говорится в записке MalasLocker.

Хотя записка о выкупе не содержит ссылки на сайт утечки данных банды вымогателей, исследователи всё же отыскали сайт. Главная страница сайта содержит длинное сообщение, заполненное смайликами, раскрывающее мотивы группы и повествующее о том, что данные киберпреступники — начинающие вымогатели, и нацелены в первую очередь на небольшие компании со слабой защитой.

«Мы — новая группа вымогателей, которая шифрует компьютеры компаний, чтобы попросить их пожертвовать деньги кому угодно. Мы просим их сделать пожертвование в некоммерческую организацию по их выбору, а затем сохранить полученное электронное письмо с подтверждением пожертвования и отправить его нам, чтобы мы могли проверить подпись DKIM, чтобы убедиться, что электронное письмо настоящее», — говорится на сайте утечки данных MalasLocker.

Это требование выкупа очень необычно и, по правде говоря, больше относит данную вымогательскую операцию к сфере хактивизма. В сети пока что довольно мало информации об этой группировке и их «благотворительной операции», поэтому неясно, сдержат ли хакеры своё слово после денежного перевода, однако сам подход у них поистине интересный. С такими альтруистическими мотивами группировка быстро завоюет популярность и, возможно, даже народную симпатию.