MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra

Un nouvel acteur est apparu sur la scène de la cybercriminalité en annonçant plusieurs victimes à la fin du mois d'avril dernier. Baptisé « MalasLocker », ce ransomware cible les utilisateurs de serveurs Zimbra comme à Pierre Bénite, en volant des courriels et en chiffrant des fichiers. Mais il y a une nouveauté: au lieu d'exiger une rançon de la manière habituelle, MalasLocker demande un don à une organisation caritative qu'il approuve, affirmant qu'il s'agit d'un moyen de fournir un outil de décryptage et d'empêcher la fuite de données.

Se prenant pour Robin des Bois, MalasLocker affirme avoir un dégoût pour les entreprises et les inégalités économiques. Il opère en dehors des normes conventionnelles des groupes de ransomware, en posant une demande inhabituelle qui déstabilise ses victimes. Reste à savoir si ce groupe est le Robin des Bois temporaire du cybermonde, s'il est vraiment dévoué à la cause qu'il défend ou s'il s'agit simplement d'une autre bande de hors-la-loi numériques qui exploitent une histoire pour commettre leurs actes malveillants.

🚀 MalasLocker, qu'est-ce que c'est ?

MalasLocker est un groupe de ransomwares nouvellement identifié qui a été observé pour la première fois à la fin du mois de mars 2023. Au lieu d'exiger une rançon classique, le groupe prétend faire un don à une organisation caritative qu'il approuve afin de fournir un outil de décryptage et d'empêcher la fuite des données de ses victimes. Mais ils vont changer leur stratégie de demande de rançon comme ils le prétendent.

🚀 Comment MalasLocker attaque-t-il ?

MalasLocker attaque en pénétrant dans les serveurs Zimbra et en chiffrant les données qu'ils contiennent. Les acteurs de la menace derrière MalasLocker téléchargent des fichiers JSP suspects (heartbeat.jsp, info.jsp, Startup1_3.jsp, etc.) dans des répertoires spécifiques tels que /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public sur les serveurs.

La méthode exacte utilisée pour pénétrer dans les serveurs n'est pas encore claire.

🚀 Qu'est-ce que Zimbra ?

Zimbra est une suite logicielle open-source principalement utilisée par les organisations pour l'hébergement de courriels, la planification d'événements, la gestion de tâches et le partage de fichiers. De nombreuses organisations préfèrent Zimbra parce qu'il dispose d'un filtre anti-spam intégré, d'un scanner de virus, d'un planificateur d'événements et d'un calendrier. De plus, il supporte l'intégration et la personnalisation par des tiers.

Le groupe de cybercriminels a probablement attaqué ses victimes en envoyant un courriel contenant un fichier malveillant en pièce jointe à un utilisateur du serveur Zimbra. Le serveur a traité le fichier jsp malveillant et l'attaquant a accédé au fichier téléchargé via le répertoire public du serveur Zimbra. C'est plus complexe que la réparation de PC, si vous m'avez bien suivi. L'étape suivante consiste à exécuter une commande pour générer des clés de préauthentification et se connecter comme utilisateur.

Bref il ne faut jamais être trop prudent. 😉 Si vous voulez me demander un avis sur Séraphin Lampion, le fameux personnage des BD de Tintinil ne faut pas hésiter à me passer un coup de fil. J'y ai réfléchi et j'ai maintenant ma petite idée sur le sujet, pourtant largement débatu parfois.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant chef de projet IT écrit et publie régulièrement depuis 2004 des articles sur son blog dédié aux outils d'entreprise, aux questions du numérique et des nouvelles technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu.

👀 Vous pouvez aussi consulter les articles suivants : Méthode de l'Inbox Zéro pour gérer ses emails, Accès au portail Zimbra de Pierre-Bénite, ChatGPT peut désormais vous parler, MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra, GFI devient Inetum, Quelles sont les limites de stockage pour Google Drive?, Avoir l'IP de quelqu'un avec un lien.

Outre l'email, mobile, téléphone, Linkedin, réseaux sociaux, vous pouvez me retrouver également sur Teams. Installé sur mon poste de travail, je reçois instantanément vos messages. Envoyez-moi votre identifiant par SMS ou email.

Aix en Provence, le 19 juillet 2023

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email, voir plus bas

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime cet article et vous invite à le lire: « L'IA générative peut-elle aider Salesforce à rebondir? ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 À consulter : Mentions légales. Derniers articles : Openbravo, Implémentation d'un logiciel : les différentes phases, Plushtodon, un éléphant en peluche résume les paradoxes de Mastodon, Le pilotage de projet ERP, 3 règles de mise en œuvre, La reprise de données, étape importante d'un projet ERP, Sécurité informatique pour les néophytes : protégez vos données, Page entreprise sur Linkedin, pour quoi faire ?, Processus d'achat et approvisionnement, les différentes étapes, Outils de gestion de projet Agile, panorama et alternatives, Leçons tirées de la transformation numérique dans les entreprises, Ma playlist du moment, Repenser l'architecture logicielle, l'art de la transformation numérique, Quand les logiciels se parlent : le rôle clé des API, Le meilleur logiciel ERP n'est pas le même pour vous et pour moi, La prime de chantier dans le BTP, levier de motivation et de performance, x, x, x.
⛅ L'automne est arrivé, un temps propice au travail non? ☂️

Copyright © 2004-2025 Michel Campillo, tous droits réservés