Certains pirates sont là pour l’argent, tandis que d’autres travaillent pour leurs gouvernements, font des ravages et volent des données à des nations opposées. Mais il y a un petit pourcentage de « hacktivistes » – des groupes qui ne craignent pas les activités criminelles, tant que c’est pour un objectif positif et socialement acceptable.
Un de ces groupes a récemment été repéré en train de cibler les serveurs Zimbra des entreprises avec des ransomwares. Au lieu de prendre le paiement de la rançon pour eux-mêmes, ils demandent aux victimes de faire un don à une association caritative de leur choix.
Le groupe s’appelle MalasLocker et semble provenir d’un pays hispanophone, car son site de fuite de données, découvert par le chercheur en cybersécurité d’Emsisoft, Brett Callow, s’intitule « Somos malas… podemos ser peores », qui signifie en espagnol » Nous sommes mauvais… nous pouvons être pires ». Jusqu’à présent, le groupe divulgue des données sensibles appartenant à trois organisations piratées, ainsi que des configurations Zimbra pour 169 autres victimes.
MalasLocker
Le groupe semble avoir lancé sa campagne fin mars 2023, déclarant en outre qu’il n’est pas encore clair comment ils ont réussi à compromettre les serveurs Zimbra, s’ils ont découvert des vulnérabilités zero-day et développé des logiciels malveillants pour cela.
Une fois qu’ils ont piraté les serveurs et crypté les fichiers, ils laissent une note de rançon avec un message unique : « Contrairement aux groupes de rançongiciels traditionnels, nous ne vous demandons pas de nous envoyer de l’argent. Nous n’aimons pas les entreprises et les inégalités économiques », disent-ils. « Nous vous demandons simplement de faire un don à une association à but non lucratif qui nous approuver. C’est gagnant-gagnant, vous pouvez probablement obtenir une déduction fiscale et de bonnes relations publiques grâce à votre don si vous le souhaitez. »
Le site de fuite du groupe porte un message similaire, mais avec une différence cruciale :
« Nous sommes un nouveau groupe de rançongiciels qui chiffrons les ordinateurs des entreprises pour leur demander de donner de l’argent à qui ils veulent« , dit-il. « Nous leur demandons de faire un don à une organisation à but non lucratif de leur choix, puis d’enregistrer l’e-mail qu’ils reçoivent confirmant le don et de nous l’envoyer afin que nous puissions vérifier la signature DKIM pour nous assurer que l’e-mail est réel. »
Jusqu’à présent, rien ne confirme que les attaquants distribuent réellement le décrypteur aux entreprises qui effectuent le paiement.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)