MalasLocker cifra los correos de Zimbra y exige donar a una ONG para descifrarlos. ¿Qué hay detrás de este ataque?
MalasLocker es una nueva operación de ransomware que se ha detectado a finales de marzo de 2023 y que tiene como objetivo los servidores de Zimbra, una plataforma de correo electrónico y colaboración empresarial. Los atacantes aprovechan vulnerabilidades en el software de Zimbra para subir archivos JSP maliciosos que les permiten robar los correos electrónicos y cifrarlos con una clave aleatoria. Sin embargo, lo que llama la atención de este ransomware es que no pide dinero a las víctimas para recuperar sus datos, sino que les solicita que hagan una donación a una organización sin fines de lucro que ellos aprueben. Según la nota de rescate que dejan en los servidores infectados, los atacantes dicen que no les gustan las corporaciones y la desigualdad económica y que solo quieren hacer un bien al mundo. Además, afirman que si no se hace la donación, publicarán los datos robados en su sitio web, donde ya han filtrado información de tres empresas y la configuración de Zimbra de otras 169 víctimas. La nota de rescate también contiene un texto codificado en Base64 que se necesita para obtener el descifrador, así como una dirección de correo electrónico o una URL TOR para contactar con los atacantes. No está claro cuánto dinero piden por la donación ni qué tipo de organizaciones aceptan, pero se trata de una estrategia poco común en el mundo del ransomware, donde lo habitual es exigir grandes sumas de dinero en criptomonedas. Algunos expertos creen que se trata de un intento de evadir la persecución legal o de generar simpatía entre las víctimas, mientras que otros piensan que se trata de una broma o una provocación. Lo cierto es que MalasLocker representa una amenaza seria para los usuarios de Zimbra y que se recomienda actualizar el software a la última versión y hacer copias de seguridad periódicas de los datos.