IT-Connect » Actualités » Actu Cybersécurité » La demande de rançon du ransomware MalasLocker est très particulière !

Ransomware MalasLocker - Demande de rançon surprenante
Actu Cybersécurité 

La demande de rançon du ransomware MalasLocker est très particulière !

Florian BURNEL 729 Views Aucun commentaire , 1 min read

Depuis plusieurs semaines, un ransomware d'un nouveau genre s'en prend aux serveurs des entreprises : au lieu de vous demander de payer une rançon pour récupérer vos données, les cybercriminels demandent à la victime de faire un don à une association à but non lucratif.

Depuis la fin du mois de mars, ce ransomware surnommé MalasLocker par le média BleepingComputer, a déjà fait une centaine de victimes ! La spécialité des cybercriminels derrière ce ransomware, c'est de compromettre les serveurs de messagerie Zimbra. Sur les forums de Zimbra, il y a eu de nombreux signalements à ce sujet, et à chaque fois, les utilisateurs ont trouvé des fichiers JSP suspects dans les dossiers "/opt/zimbra/jetty_base/webapps/zimbra/" ou "/opt/zimbra/jetty/webapps/zimbra/public" de leur serveur : info.jsp, noops.jsp, ,heartbeat.jsp ou Startup1_3.jsp, ce dernier correspondant à un webshell. Au final, ce sont bien les données du serveur qui sont chiffrées.

Le chiffrement des données est accompagné du fichier "README.txt" qui correspond à l'habituelle note de rançon. Jusque là, tout est normal. Ce qui est plus surprenant, c'est le contenu de ce fichier ! Les cybercriminels ne veulent pas recevoir de l'argent directement : ils veulent que l'entreprise effectue un don à une association (qu'ils approuvent) ! Pour justifier ce choix, voici ce qui est précisé : "Contrairement aux groupes de ransomware traditionnels, nous ne vous demandons pas de nous envoyer de l'argent. Nous n'aimons tout simplement pas les entreprises et les inégalités économiques."

Pour vous inciter à faire ce don et à récupérer vos données, les pirates abattent la carte de l'avantage fiscal : "Nous vous demandons simplement de faire un don à une organisation à but non lucratif que nous approuvons. C'est gagnant-gagnant, vous pouvez probablement bénéficier d'une déduction fiscale et de bonnes relations publiques grâce à votre don, si vous le souhaitez."

Dans le cas où l'entreprise décide de ne pas faire ce fameux don, elle n'aura pas la clé de déchiffrement et ses données seront publiées sur le site de leak des cybercriminels puisqu'ils appliquent le principe de la double extorsion. Actuellement, le site de leak de MalasLocker diffuse les données volées de trois entreprises et la configuration du serveur Zimbra de 169 autres victimes.

Si les intentions des pirates sont sincères, il s'agit clairement d'une opération d'hacktivisme... Pour le moment, la question reste entière.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5574.Voir tous les posts

Vous pourrez aussi aimer

Cyberattaques - Ransomware LockBit - Citrix Bleed - CVE-2023-4966

Le ransomware LockBit exploite la faille de sécurité Citrix Bleed ! Plus de 10 000 serveurs sont exposés !

Florian BURNEL 0

WordPress et UpdraftPlus : une vulnérabilité touche 3 millions de sites

Florian BURNEL 0
Ransomware Rorschach - Chiffrement très rapide

A ce jour, le nouveau ransomware Rorschach serait le plus rapide pour chiffrer les données !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.