Algunos piratas informáticos están en esto por el dinero, mientras que otros trabajan para sus gobiernos, causando estragos y robando datos de naciones opuestas. Pero hay un pequeño porcentaje de «hacktivistas», grupos que no rehúyen la actividad delictiva, siempre que sea con un objetivo positivo y socialmente aceptable.
Recientemente se ha visto a uno de estos grupos apuntando a los servidores Zimbra de las empresas con ransomware. En lugar de aceptar el pago del rescate por sí mismos, exigen que las víctimas hagan una donación a la organización benéfica de su elección.
El grupo se llama MalasLocker y parece ser de un país de habla hispana, ya que su sitio de fuga de datos, descubierto por el investigador de ciberseguridad de Emsisoft, Brett Callow, se titula «Somos malas… podemos ser peores». Somos malos… podemos ser peores.” Hasta el momento, el grupo está filtrando datos confidenciales pertenecientes a tres organizaciones violadas, así como configuraciones de Zimbra para otras 169 víctimas.
MalasLocker
El grupo parece haber comenzado su campaña a fines de marzo de 2023, afirmando además que aún no está claro cómo lograron comprometer los servidores Zimbra, si descubrieron vulnerabilidades de día cero y desarrollaron malware para ello.
Una vez que violan los servidores y encriptan los archivos, dejan una nota de rescate con un mensaje único: «A diferencia de los grupos de ransomware tradicionales, no le pedimos que nos envíe dinero. Simplemente no nos gustan las corporaciones y la desigualdad económica», dicen. «Simplemente le pedimos que haga una donación a una organización sin fines de lucro que nosotros aprobar. Es un ganar-ganar, probablemente pueda obtener una deducción de impuestos y buenas relaciones públicas de su donación si lo desea».
El sitio de fuga del grupo lleva un mensaje similar, pero con una diferencia crucial:
«Somos un nuevo grupo de ransomware que ha estado encriptando las computadoras de las empresas para pedirles que donen dinero para quien ellos quieran«, dice. «Les pedimos que hagan una donación a una organización sin fines de lucro de su elección, y luego guarden el correo electrónico que reciben confirmando la donación y nos lo envíen para que podamos verificar la firma DKIM y asegurarnos de que el correo electrónico sea real».
Hasta el momento, no hay confirmación de que los atacantes realmente distribuyan el descifrador a las empresas que realizan el pago.
Vía: BleepingComputer (se abre en una pestaña nueva)