MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra

Un nouvel acteur est apparu sur la scène de la cybercriminalité en annonçant plusieurs victimes à la fin du mois d'avril dernier. Baptisé « MalasLocker », ce ransomware cible les utilisateurs de serveurs Zimbra comme à Pierre Bénite, en volant des courriels et en chiffrant des fichiers. Mais il y a une nouveauté: au lieu d'exiger une rançon de la manière habituelle, MalasLocker demande un don à une organisation caritative qu'il approuve, affirmant qu'il s'agit d'un moyen de fournir un outil de décryptage et d'empêcher la fuite de données.

Se prenant pour Robin des Bois, MalasLocker affirme avoir un dégoût pour les entreprises et les inégalités économiques. Il opère en dehors des normes conventionnelles des groupes de ransomware, en posant une demande inhabituelle qui déstabilise ses victimes. Reste à savoir si ce groupe est le Robin des Bois temporaire du cybermonde, s'il est vraiment dévoué à la cause qu'il défend ou s'il s'agit simplement d'une autre bande de hors-la-loi numériques qui exploitent une histoire pour commettre leurs actes malveillants.

🚀 MalasLocker, qu'est-ce que c'est ?

MalasLocker est un groupe de ransomwares nouvellement identifié qui a été observé pour la première fois à la fin du mois de mars 2023. Au lieu d'exiger une rançon classique, le groupe prétend faire un don à une organisation caritative qu'il approuve afin de fournir un outil de décryptage et d'empêcher la fuite des données de ses victimes. Mais ils vont changer leur stratégie de demande de rançon comme ils le prétendent.

🚀 Comment MalasLocker attaque-t-il ?

MalasLocker attaque en pénétrant dans les serveurs Zimbra et en chiffrant les données qu'ils contiennent. Les acteurs de la menace derrière MalasLocker téléchargent des fichiers JSP suspects (heartbeat.jsp, info.jsp, Startup1_3.jsp, etc.) dans des répertoires spécifiques tels que /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public sur les serveurs.

La méthode exacte utilisée pour pénétrer dans les serveurs n'est pas encore claire.

🚀 Qu'est-ce que Zimbra ?

Zimbra est une suite logicielle open-source principalement utilisée par les organisations pour l'hébergement de courriels, la planification d'événements, la gestion de tâches et le partage de fichiers. De nombreuses organisations préfèrent Zimbra parce qu'il dispose d'un filtre anti-spam intégré, d'un scanner de virus, d'un planificateur d'événements et d'un calendrier. De plus, il supporte l'intégration et la personnalisation par des tiers.

Le groupe de cybercriminels a probablement attaqué ses victimes en envoyant un courriel contenant un fichier malveillant en pièce jointe à un utilisateur du serveur Zimbra. Le serveur a traité le fichier jsp malveillant et l'attaquant a accédé au fichier téléchargé via le répertoire public du serveur Zimbra. L'étape suivante consiste probablement à exécuter une commande pour générer des clés de préauthentification et se connecter en tant que n'importe quel utilisateur.

Bref il ne faut jamais être trop prudent. 😉 Si vous voulez me demander un avis sur comment rédiger une lettre de motivation il ne faut pas hésiter à me passer un coup de fil. J'y ai réfléchi et j'ai maintenant ma petite idée sur le sujet, pourtant largement débatu parfois.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant chef de projet IT écrit et publie régulièrement depuis 2004 des articles sur son blog dédié aux outils d'entreprise, aux questions du numérique et des nouvelles technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu.

👀 Vous pouvez aussi consulter les articles suivants : Méthode de l'Inbox Zéro pour gérer ses emails, Accès au portail Zimbra de Pierre-Bénite, ChatGPT peut désormais vous parler, MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra, GFI devient Inetum, Quelles sont les limites de stockage pour Google Drive?, Avoir l'IP de quelqu'un avec un lien, Redémarrer un blog après une pause.

Outre l'email, mobile, téléphone, Linkedin, réseaux sociaux, vous pouvez me retrouver également sur Teams. Installé sur mon poste de travail, je reçois instantanément vos messages. Envoyez-moi votre identifiant par SMS ou email.

Aix en Provence, le 19 juillet 2023

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email, voir plus bas

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime cet article et vous invite à le lire: « L'innovation à Marseille et les startups».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, L'IA et le vol de contenus, Les modules d'un ERP, Logiciel de gestion de l'innovation, Mise en place d'un ERP dans une entreprise, Process mining, Logiciel de gestion des achats, expérience d'implémentation, L'innovation à Marseille et les startups, Donkey Kong Bananza... Quel voyage dans le temps !, Décarboner les réseaux de chauffage urbains, Structure de répartition du travail (WBS) et diagramme de Gantt, Manque de sponsoring et échec des projets, Une communication déficiente affecte la réussite des projets, Réduire le risque d'échec d’un projet de déploiement ERP, Gestion de projet ERP, les dangers d'une terminologie non maîtrisée, La question de la planification dans les projets ERP, Le délicat sujet de l'estimation budgétaire dans les projets ERP, Déploiement ERP dans les PME grâce à l'IA, Quand l'ERP devient un point de rupture : enseignements d'un naufrage numérique, ERP et cybersécurité : ce que certains refusent encore de comprendre, ERP et réglementation : pourquoi tout commence au cadrage (et pas après), Quand l'État laisse la porte ouverte : cybersécurité, ANSSI, Quand l'intégration fait la différence, le défi derrière le choix d'un ERP, TikTok et les mirages de la finance facile, attention au piège, L'opérateur Orange, cible d'une cyberattaque, Être à jour sur sa veille technologique?, L'IA Act, acte 2 : Google signe... mais pour moi, les doutes persistent.
☀️ Sous le soleil éclatant et la forte chaleur d'un bel été 🏖️

Copyright © 2004-2025 Michel Campillo, tous droits réservés