Saiba como doar qualquer valor para o PIX oficial do Rio Grande do Sul

Gangue de ransomware quer doação para caridade como resgate após ataques

Após travar arquivos, gangue do ransomware MalasLocker pede doação para instituições de caridade, em vez de pagamento de resgate pelos arquivos

Por: Felipe Demartini

18 mai 2023 - 16h46

(atualizado às 19h22)

Exibir comentários

Uma gangue de ransomware adotou uma dinâmica pouco usual após atingir seus alvos corporativos. Ainda há o pedido de dinheiro para recuperação dos arquivos, mas em vez do tradicional resgate que acaba financiando ainda mais o cibercrime, o grupo pede que as empresas atingidas realizem uma doação para instituições de caridade ou transfiram valores para que eles façam isso.

Foto: sebastiaan stam/Unsplash / Canaltech

A quadrilha batizada como MalasLocker distribui ransomware para servidores Zimbra, de olho em dados confidenciais e trocas de e-mails entre funcionários das corporações atingidas. Após o travamento dos arquivos, entretanto, vem o aviso de que, em vez do tradicional envio de criptomoedas para endereços designados pelos bandidos, o pedido é por doações substanciais para instituições de caridade em troca da chave para liberação dos dados.

De acordo com o analista Brett Callow, da empresa de cibersegurança Emsisoft, seriam mais de 170 empresas atingidas pelo ransomware, com pelo menos três tendo seus dados publicados pelos criminosos, o que indica que não houve pagamento de resgate. As informações publicadas pelos bandidos também mostram uma evolução das operações, mas sem nunca perder o olhar nas críticas ao corporativismo e o pedido de doações.

The note. pic.twitter.com/n8fAQMUFTe

— Brett Callow (@BrettCallow) May 17, 2023

Em um texto publicado em seu site na dark web, os responsáveis pelo MalasLocker falam que a caridade pode ser feita a qualquer instituição que a vítima desejar, enquanto notas de resgate mais recentes pedem que o dinheiro seja enviado aos próprios, para ser repassado a instituições designadas. O motivo está na própria publicação original, já que na visão deles, muitas companhias acabam entregando o dinheiro a campanhas baseadas em países que também são parte do problema que desejam resolver.

Enquanto isso, a indicação de doação é feita para caridades que os bandidos afirmam serem "inaceitáveis" para grandes empresas, como organizações sociais de fazendeiros, pastorais que ajudam a população de rua ou iniciativas voltadas a países da África. Segundo os operadores do MalasLocker, o que se percebeu foi que as vítimas, muitas vezes, preferem pagar o resgate a bandidos do que contribuírem para organizações desse caráter, o que levou à mudança.

O uso de slogans em espanhol dá uma dica das origens da quadrilha, enquanto as similaridades do MalasLocker com outra operação de ransomware, baseada no malware AgeLocker, também indicam conexões entre as duas campanhas. Trata-se, de acordo com especialistas, de um método pouco usual em ataques envolvendo o travamento de arquivos, que envolve não apenas o uso de chaves como também de um cabeçalho para destravamento, em um formato complexo e que não combina com a agilidade normalmente exigida de ações assim.

Criminosos "do bem"

Apesar de inusitada, a dinâmica também não é inédita no mercado cibercriminoso. Ainda que não existam relações aparentes entre as quadrilhas, o formato de extorsão usado pelo MalasLocker é semelhante ao visto no grupo GoodWill, descoberto em maio de 2022 e que exigia o cumprimento de desafios de caridade para liberação dos dados das vítimas.

Os atos que deveriam ser filmados e publicados em redes sociais envolviam levar crianças em situação de rua para comer em redes de fast food, a doação de cobertores e roupas de frio ou o oferecimento de auxílio financeiro a hospitais. Em outro caso famoso, registrado em 2020, uma quadrilha de ransomware desconhecida usou o dinheiro recebido dos resgates para fazer doações em criptomoedas para projetos de luta contra a pobreza e fornecimento de água potável para populações carentes.

Fonte: Bleeping Computer

Trending no Canaltech: