Einige Hacker sind nur des Geldes wegen dabei, während andere für ihre Regierungen arbeiten, Chaos anrichten und Daten von gegnerischen Nationen stehlen. Aber es gibt einen kleinen Prozentsatz von „Hacktivisten“ – Gruppen, die vor kriminellen Aktivitäten nicht zurückschrecken, solange diese ein positives und gesellschaftlich akzeptables Ziel verfolgen.
Kürzlich wurde eine solche Gruppe gesichtet, die es mit Ransomware auf die Zimbra-Server von Unternehmen abgesehen hat. Anstatt die Lösegeldzahlung für sich selbst zu übernehmen, fordern sie von den Opfern eine Spende an eine Wohltätigkeitsorganisation ihrer Wahl.
Die Gruppe heißt MalasLocker und scheint aus einem spanischsprachigen Land zu stammen, da ihre Datenleckseite, die vom Cybersicherheitsforscher von Emsisoft, Brett Callow, entdeckt wurde, den Titel „Somos malas… podemos ser peores“ trägt, was spanisch für „ Wir sind schlecht … wir können schlimmer sein.“ Bisher hat die Gruppe vertrauliche Daten von drei angegriffenen Organisationen sowie Zimbra-Konfigurationen für 169 weitere Opfer preisgegeben.
MalasLocker
Die Gruppe scheint ihre Kampagne Ende März 2023 gestartet zu haben und erklärt weiter, dass noch unklar sei, wie es ihnen gelungen sei, die Zimbra-Server zu kompromittieren, ob sie Zero-Day-Schwachstellen entdeckt und Malware dafür entwickelt hätten.
Sobald sie in die Server eindringen und die Dateien verschlüsseln, hinterlassen sie einen Lösegeldschein mit einer eindeutigen Nachricht: „Im Gegensatz zu herkömmlichen Ransomware-Gruppen bitten wir Sie nicht, uns Geld zu schicken. Wir mögen Unternehmen und wirtschaftliche Ungleichheit einfach nicht“, sagen sie. „Wir bitten Sie lediglich, eine Spende an eine gemeinnützige Organisation zu leisten Wir zustimmen. Es ist eine Win-Win-Situation, Sie können wahrscheinlich einen Steuerabzug und eine gute PR von Ihrer Spende erhalten, wenn Sie möchten.“
Die Leak-Seite der Gruppe vermittelt eine ähnliche Botschaft, allerdings mit einem entscheidenden Unterschied:
„Wir sind eine neue Ransomware-Gruppe, die die Computer von Unternehmen verschlüsselt, um sie um Geldspenden zu bitten wen auch immer sie wollen„Wir bitten sie, eine Spende an eine gemeinnützige Organisation ihrer Wahl zu leisten, speichern dann die E-Mail mit der Bestätigung der Spende und senden sie an uns, damit wir die DKIM-Signatur überprüfen können, um sicherzustellen, dass die E-Mail echt ist.“
Bisher gibt es keine Bestätigung dafür, dass die Angreifer das Entschlüsselungsprogramm tatsächlich an die Unternehmen verteilen, die die Zahlung leisten.
Über: BleepingComputer (öffnet sich in neuem Tab)