MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra

Un nouvel acteur est apparu sur la scène de la cybercriminalité en annonçant plusieurs victimes à la fin du mois d'avril dernier. Baptisé « MalasLocker », ce ransomware cible les utilisateurs de serveurs Zimbra comme à Pierre Bénite, en volant des courriels et en chiffrant des fichiers. Mais il y a une nouveauté: au lieu d'exiger une rançon de la manière habituelle, MalasLocker demande un don à une organisation caritative qu'il approuve, affirmant qu'il s'agit d'un moyen de fournir un outil de décryptage et d'empêcher la fuite de données.

Se prenant pour Robin des Bois, MalasLocker affirme avoir un dégoût pour les entreprises et les inégalités économiques. Il opère en dehors des normes conventionnelles des groupes de ransomware, en posant une demande inhabituelle qui déstabilise ses victimes. Reste à savoir si ce groupe est le Robin des Bois temporaire du cybermonde, s'il est vraiment dévoué à la cause qu'il défend ou s'il s'agit simplement d'une autre bande de hors-la-loi numériques qui exploitent une histoire pour commettre leurs actes malveillants.

🚀 MalasLocker, qu'est-ce que c'est ?

MalasLocker est un groupe de ransomwares nouvellement identifié qui a été observé pour la première fois à la fin du mois de mars 2023. Au lieu d'exiger une rançon classique, le groupe prétend faire un don à une organisation caritative qu'il approuve afin de fournir un outil de décryptage et d'empêcher la fuite des données de ses victimes. Mais ils vont changer leur stratégie de demande de rançon comme ils le prétendent.

🚀 Comment MalasLocker attaque-t-il ?

MalasLocker attaque en pénétrant dans les serveurs Zimbra et en chiffrant les données qu'ils contiennent. Les acteurs de la menace derrière MalasLocker téléchargent des fichiers JSP suspects (heartbeat.jsp, info.jsp, Startup1_3.jsp, etc.) dans des répertoires spécifiques tels que /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public sur les serveurs.

La méthode exacte utilisée pour pénétrer dans les serveurs n'est pas encore claire.

🚀 Qu'est-ce que Zimbra ?

Zimbra est une suite logicielle open-source principalement utilisée par les organisations pour l'hébergement de courriels, la planification d'événements, la gestion de tâches et le partage de fichiers. De nombreuses organisations préfèrent Zimbra parce qu'il dispose d'un filtre anti-spam intégré, d'un scanner de virus, d'un planificateur d'événements et d'un calendrier. De plus, il supporte l'intégration et la personnalisation par des tiers.

Le groupe de cybercriminels a probablement attaqué ses victimes en envoyant un courriel contenant un fichier malveillant en pièce jointe à un utilisateur du serveur Zimbra. Le serveur a traité le fichier jsp malveillant et l'attaquant a accédé au fichier téléchargé via le répertoire public du serveur Zimbra. L'étape suivante consiste probablement à exécuter une commande pour générer des clés de préauthentification et se connecter en tant que n'importe quel utilisateur.

Bref il ne faut jamais être trop prudent. 😉 Si vous voulez me demander un avis sur comment rédiger une lettre de motivation de consultant fonctionnel ERP il ne faut pas hésiter à me passer un coup de fil. J'y ai réfléchi et j'ai maintenant ma petite idée sur le sujet, pourtant largement débatu parfois.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant expert en solutions de gestion écrit et publie régulièrement depuis 2004 des articles sur son site web professionnel dédié aux outils d'entreprise et aux questions du numérique et des technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu des thèmes abordés.

👀 Vous pouvez aussi consulter les articles suivants : Méthode de l'Inbox Zéro pour gérer ses emails, Accès au portail Zimbra de Pierre-Bénite, ChatGPT peut désormais vous parler, Le groupe de hackers RansomedVC a piraté Sony, Les API, l'une des principales failles de sécurité dans une entreprise, MalasLocker, un cryptobloqueur qui s'attaque aux serveurs Zimbra, La « grève » des modérateurs de Reddit, GFI devient Inetum, Viva Technology 2023, visiter le salon tech de Paris, Quelles sont les limites de stockage pour Google Drive?.

Outre l'email, mobile, téléphone, Linkedin, réseaux sociaux, vous pouvez me retrouver également sur Teams. Installé sur mon poste de travail, je reçois instantanément vos messages. Envoyez-moi votre identifiant par SMS ou email.

Aix en Provence

Michel Campillo
Responsable de domaine applicatif
☎ 06 89 56 58 18  ✉ contact par email, voir plus bas

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime assez cet article: « ActivityPub et le fediverse ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, Quelques outils de gestion de projet open source disponibles, À quoi sert une page entreprise Linkedin ?, L'ERP nouvelle génération arrive, Carte mentale, exemples et concept, Intergiciel ERP, Logiciel de prise de notes, Être consultant sur un logiciel métier, Logiciels ERP les plus connus, Les outils en gestion Agile, quelles alternatives?, La quête d'un chef de projet pour la productivité.
✇ Site web 🤖 100% thermo-dynamique 🌱 depuis 2004 🌿

Copyright © 2004-2024 Michel Campillo, tous droits réservés