MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra

Un nouvel acteur est apparu sur la scène de la cybercriminalité en annonçant plusieurs victimes à la fin du mois d'avril dernier. Baptisé « MalasLocker », ce ransomware cible les utilisateurs de serveurs Zimbra comme à Pierre Bénite, en volant des courriels et en chiffrant des fichiers. Mais il y a une nouveauté: au lieu d'exiger une rançon de la manière habituelle, MalasLocker demande un don à une organisation caritative qu'il approuve, affirmant qu'il s'agit d'un moyen de fournir un outil de décryptage et d'empêcher la fuite de données.

Se prenant pour Robin des Bois, MalasLocker affirme avoir un dégoût pour les entreprises et les inégalités économiques. Il opère en dehors des normes conventionnelles des groupes de ransomware, en posant une demande inhabituelle qui déstabilise ses victimes. Reste à savoir si ce groupe est le Robin des Bois temporaire du cybermonde, s'il est vraiment dévoué à la cause qu'il défend ou s'il s'agit simplement d'une autre bande de hors-la-loi numériques qui exploitent une histoire pour commettre leurs actes malveillants.

🚀 MalasLocker, qu'est-ce que c'est ?

MalasLocker est un groupe de ransomwares nouvellement identifié qui a été observé pour la première fois à la fin du mois de mars 2023. Au lieu d'exiger une rançon classique, le groupe prétend faire un don à une organisation caritative qu'il approuve afin de fournir un outil de décryptage et d'empêcher la fuite des données de ses victimes. Mais ils vont changer leur stratégie de demande de rançon comme ils le prétendent.

🚀 Comment MalasLocker attaque-t-il ?

MalasLocker attaque en pénétrant dans les serveurs Zimbra et en chiffrant les données qu'ils contiennent. Les acteurs de la menace derrière MalasLocker téléchargent des fichiers JSP suspects (heartbeat.jsp, info.jsp, Startup1_3.jsp, etc.) dans des répertoires spécifiques tels que /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public sur les serveurs.

La méthode exacte utilisée pour pénétrer dans les serveurs n'est pas encore claire.

🚀 Qu'est-ce que Zimbra ?

Zimbra est une suite logicielle open-source principalement utilisée par les organisations pour l'hébergement de courriels, la planification d'événements, la gestion de tâches et le partage de fichiers. De nombreuses organisations préfèrent Zimbra parce qu'il dispose d'un filtre anti-spam intégré, d'un scanner de virus, d'un planificateur d'événements et d'un calendrier. De plus, il supporte l'intégration et la personnalisation par des tiers.

Le groupe de cybercriminels a probablement attaqué ses victimes en envoyant un courriel contenant un fichier malveillant en pièce jointe à un utilisateur du serveur Zimbra. Le serveur a traité le fichier jsp malveillant et l'attaquant a accédé au fichier téléchargé via le répertoire public du serveur Zimbra. L'étape suivante consiste probablement à exécuter une commande pour générer des clés de préauthentification et se connecter en tant que n'importe quel utilisateur.

Bref il ne faut jamais être trop prudent. 😉 Si vous voulez me demander un avis sur ma playlist du moment et savoir si elle est encore d'actualité ou pas, il ne faut pas hésiter à me passer un coup de fil. J'y ai réfléchi et j'ai maintenant ma petite idée sur le sujet, pourtant largement débatu parfois.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant chef de projet IT écrit et publie régulièrement depuis 2004 des articles sur son blog dédié aux outils d'entreprise, aux questions du numérique et des nouvelles technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu.

👀 Vous pouvez aussi consulter les articles suivants : Méthode de l'Inbox Zéro pour gérer ses emails, Accès au portail Zimbra de Pierre-Bénite, ChatGPT peut désormais vous parler, MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra, GFI devient Inetum, Quelles sont les limites de stockage pour Google Drive?, Avoir l'IP de quelqu'un avec un lien.

Outre l'email, mobile, téléphone, Linkedin, réseaux sociaux, vous pouvez me retrouver également sur Teams. Installé sur mon poste de travail, je reçois instantanément vos messages. Envoyez-moi votre identifiant par SMS ou email.

Aix en Provence, le 19 juillet 2023

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email, voir plus bas

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime cet article et vous invite à le lire: « Le Fediverse peut-il décentraliser le Web ? ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, Les modules d'un ERP, Logiciel de gestion de l'innovation, Mise en place d'un ERP dans une entreprise, Process mining, Logiciel de gestion des achats, expérience d'implémentation, L'innovation à Marseille et les startups, Donkey Kong Bananza... Quel voyage dans le temps !, TikTok et les mirages de la finance facile, attention au piège, L'opérateur Orange, cible d'une cyberattaque, Être à jour sur sa veille technologique?, L'IA Act, acte 2 : Google signe... mais pour moi, les doutes persistent, Apple prépare-t-il son propre ChatGPT ? Entre nécessité et doutes, Tchap messagerie sécurisée de l'État, rempart face à la cybercriminalité?, RPA : l'automatisation mal intégrée devient un risque, Fuite d'IBAN chez Bouygues, quels risques pour les clients?, Quand l'IA agentique rencontre l'ERP : l'avenir des portails métiers, Après la fin de Skype, quels outils pour nos échanges numériques?, RELIEF, l'IA agentique qui réinvente le chiffrage industriel, À propos de Michel Campillo, Les logiciels ERP en 2025, Logistique et intelligence artificielle : une transformation inévitable, Quand la Suisse modernise ses logiciels ERP, Quand SAP s'installe au Vietnam, que devons-nous en retenir ?, Quand l'intégration des paiements et de l'ERP change la donne, x, x, Encore un fiasco en projet ERP : les leçons de DHL, Vendre un compte X, entre opportunité financière et gestion stratégique.
☀️ Sous le soleil éclatant et la forte chaleur d'un bel été 🏖️

Copyright © 2004-2025 Michel Campillo, tous droits réservés