MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra

Un nouvel acteur est apparu sur la scène de la cybercriminalité en annonçant plusieurs victimes à la fin du mois d'avril dernier. Baptisé « MalasLocker », ce ransomware cible les utilisateurs de serveurs Zimbra comme à Pierre Bénite, en volant des courriels et en chiffrant des fichiers. Mais il y a une nouveauté: au lieu d'exiger une rançon de la manière habituelle, MalasLocker demande un don à une organisation caritative qu'il approuve, affirmant qu'il s'agit d'un moyen de fournir un outil de décryptage et d'empêcher la fuite de données.

Se prenant pour Robin des Bois, MalasLocker affirme avoir un dégoût pour les entreprises et les inégalités économiques. Il opère en dehors des normes conventionnelles des groupes de ransomware, en posant une demande inhabituelle qui déstabilise ses victimes. Reste à savoir si ce groupe est le Robin des Bois temporaire du cybermonde, s'il est vraiment dévoué à la cause qu'il défend ou s'il s'agit simplement d'une autre bande de hors-la-loi numériques qui exploitent une histoire pour commettre leurs actes malveillants.

🚀 MalasLocker, qu'est-ce que c'est ?

MalasLocker est un groupe de ransomwares nouvellement identifié qui a été observé pour la première fois à la fin du mois de mars 2023. Au lieu d'exiger une rançon classique, le groupe prétend faire un don à une organisation caritative qu'il approuve afin de fournir un outil de décryptage et d'empêcher la fuite des données de ses victimes. Mais ils vont changer leur stratégie de demande de rançon comme ils le prétendent.

🚀 Comment MalasLocker attaque-t-il ?

MalasLocker attaque en pénétrant dans les serveurs Zimbra et en chiffrant les données qu'ils contiennent. Les acteurs de la menace derrière MalasLocker téléchargent des fichiers JSP suspects (heartbeat.jsp, info.jsp, Startup1_3.jsp, etc.) dans des répertoires spécifiques tels que /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public sur les serveurs.

La méthode exacte utilisée pour pénétrer dans les serveurs n'est pas encore claire.

🚀 Qu'est-ce que Zimbra ?

Zimbra est une suite logicielle open-source principalement utilisée par les organisations pour l'hébergement de courriels, la planification d'événements, la gestion de tâches et le partage de fichiers. De nombreuses organisations préfèrent Zimbra parce qu'il dispose d'un filtre anti-spam intégré, d'un scanner de virus, d'un planificateur d'événements et d'un calendrier. De plus, il supporte l'intégration et la personnalisation par des tiers.

Le groupe de cybercriminels a probablement attaqué ses victimes en envoyant un courriel contenant un fichier malveillant en pièce jointe à un utilisateur du serveur Zimbra. Le serveur a traité le fichier jsp malveillant et l'attaquant a accédé au fichier téléchargé via le répertoire public du serveur Zimbra. L'étape suivante consiste probablement à exécuter une commande pour générer des clés de préauthentification et se connecter en tant que n'importe quel utilisateur.

Bref il ne faut jamais être trop prudent. 😉 Si vous voulez me demander un avis sur les arguments de « Derrière nos écrans de fumée » il ne faut pas hésiter à me passer un coup de fil. J'y ai réfléchi et j'ai maintenant ma petite idée sur le sujet, pourtant largement débatu parfois.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant chef de projet IT écrit et publie régulièrement depuis 2004 des articles sur son blog dédié aux outils d'entreprise, aux questions du numérique et des nouvelles technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu.

👀 Vous pouvez aussi consulter les articles suivants : Méthode de l'Inbox Zéro pour gérer ses emails, Accès au portail Zimbra de Pierre-Bénite, ChatGPT peut désormais vous parler, MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra, GFI devient Inetum, Quelles sont les limites de stockage pour Google Drive?, Avoir l'IP de quelqu'un avec un lien.

Outre l'email, mobile, téléphone, Linkedin, réseaux sociaux, vous pouvez me retrouver également sur Teams. Installé sur mon poste de travail, je reçois instantanément vos messages. Envoyez-moi votre identifiant par SMS ou email.

Aix en Provence, le 19 juillet 2023

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email, voir plus bas

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime cet article et vous invite à le lire: « SkyDroid: dépôt décentralisé d'applications pour Android ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 À consulter : Mentions légales. Derniers articles : Les phases APS et APD dans les projets d'installations industrielles, ITSM et ERP : impacts sur l'architecture et les équipes, Installer Copilot gratuitement, retour d'expérience, Les limites cachées du rôle de chef de projet ERP, La chaîne logistique en entreprise, qu'est-ce que c'est ?, L'importance des réseaux sociaux pour un tunnel d'acquisition performant, Du Build au Run : le défi des chefs de projet ERP, Maîtriser le triangle QCD dans les projets ERP, Un logiciel ERP pour gérer l'entreprise, ERP BTP, Piloter un projet ERP, Faire appel à un rédacteur web freelance, Le rôle stratégique du rétroplanning dans la réussite d'un projet ERP, Christiaens, un ERP au service de la gestion d’entreprise, Altior, l'ERP SaaS qui booste les PME industrielles, Smart Industry, quand l'industrie 4.0 réinvente l'appareil de production, Rise Tech, réparation d'ordinateur portable près d'Aix-en-Provence, Intégrer des outils externes à un ERP.
☀️ Sous le soleil éclatant et la forte chaleur d'un bel été 🏖️

Copyright © 2004-2025 Michel Campillo, tous droits réservés