כופרה חדשה משמשת לפריצת שרתי Zimbra במטרה לגנוב מיילים ולהצפין קבצים. עם זאת, במקום לדרוש תשלום כופר, טוענים פושעי הסייבר שהם דורשים תרומה לצדקה כדי לספק מפתח הצפנה ולמנוע פרסום המידע שגנבו. שרת Zimbra הינו שרת ייעודי המנהל את כל תכולת תיבת הדואר, לרבות הודעות, אנשי קשר, לוח שנה וקבצים מצורפים. הודעות מתקבלות משרת Zimbra MTA ואז עוברות דרך מסננים. לאחר מכן, מתווספות ההודעות לאינדקס ומופקדות בתיבת הדואר הנכונה.
הכופרה המכונה MalasLocker על ידי BleepingComputer, החלה להצפין שרתי Zimbra לקראת סוף מרץ 2023, כאשר הקורבנות דיווחו הן בפורום BleepingComputer והן בפורום Zimbra כי האימיילים שלהם מוצפנים. קורבנות רבים בפורומים של Zimbra מדווחים על מציאת קובצי JSP חשודים שהועלו לתיקיות /opt/zimbra/jetty_base/webapps/zimbra/ או /opt/zimbra/jetty/webapps/zimbra/. קבצים אלו נמצאו תחת שמות שונים. בעת הצפנת הודעות דואר אלקטרוני על ידי הכופרה, לא התווספה סיומת קובץ נוספת לשם הקובץ. עם זאת, אמר חוקר אבטחת הסייבר MalwareHunterTeam ל- BleepingComputer שההאקרים מוסיפים הודעה "הקובץ הזה מוצפן, חפש את README.txt להוראות פענוח" בסוף כל קובץ מוצפן.
בשלב זה לא ברור כיצד פורצים ההאקרים את שרתי Zimbra. הכופרה יוצרת הודעות כופר בשם README.txt אשר מגיעות עם דרישת כופר חריגה לקבלת מפענח ולמניעת הדלפת המידע שנגנב – תרומה לעמותה: "בניגוד לקבוצות כופרה מסורתיות, אנחנו לא מבקשים מכם לשלוח לנו כסף. אנחנו פשוט לא אוהבים תאגידים ואי שוויון כלכלי"; "אנחנו פשוט מבקשים שתתרמו לעמותה שאנחנו מאשרים. זה win-win, אתם כנראה תוכלו לקבל מהתרומה שלכם ניכוי מס ויחסי ציבור טובים", נכתב בהודעת הכופר של MalasLocker.
פתקי הכופר מכילים כתובת אימייל ליצירת קשר עם קבוצת הכופרה או כתובת URL של TOR הכוללת את כתובת האימייל העדכנית של הקבוצה. בעוד שהודעות הכופר אינן כוללות קישור לאתר הדלפת הנתונים של קבוצת הכופרה, מצא אנליסט הסבייבר של Emsisoft – ברט קאלו, קישור לאתר הדלפת הנתונים שלהם עם הכותרת, "Somos malas… podemos ser peores", המתורגם ל" אנחנו רעים… אנחנו יכולים להיות גרועים יותר". אתר הדלפת הנתונים של MalasLocker מפיץ כיום את מידע שנגנב משלוש חברות ואת תצורת Zimbra. העמוד הראשי של אתר הדלפת הנתונים מכיל גם הודעה ארוכה מלאת אמוג'י המסבירה מה מייצגת קבוצת הכופרה ואת דרישותיה: "אנחנו קבוצת כופרה חדשה והיצפנו מחשבים של חברות כדי לבקש מהן לתרום כסף למי שהם רוצים"; "אנו מבקשים מהם לתרום לעמותה לפי בחירתם ולאחר מכן לשמור את האימייל שהם מקבלים המאשר את התרומה ולשלוח אותו אלינו כדי שנוכל לבדוק חתימת DKIM כדי לוודא שהאימייל אמיתי".
דרישת הכופר הזו היא מאוד יוצאת דופן ומעבירה את קבוצת הכופרה לתחום ההאקטיביזם. עם זאת, עדיין לא קבעה BleepingComputer אם נאמנים ההאקרים הללו להבטחתם כאשר תורם הקורבן כסף לארגון צדקה עבור קבלת מפתחות פענוח. BleepingComputer לא הצליחו למצוא את המצפין עבור פעולת MalasLocker אך עם זאת, נמצאה הפנייה מוצפנת לכלי הצפנה של Age אשר פותח על ידי Filippo Valsorda – קריפטוגרף ומנהל אבטחה ב- Google ומשתמש באלגוריתמים X25519 (עקומת ECDH), ChaChar20-Poly1305 ו- HMAC-SHA256. זוהי שיטת הצפנה לא נפוצה, כאשר רק מספר כופרות משתמשות בה, כשכולן אינן מכוונות למכונות Windows.
