La demande de rançon du ransomware MalasLocker est très particulière !
Depuis plusieurs semaines, un ransomware d'un nouveau genre s'en prend aux serveurs des entreprises : au lieu de vous demander de payer une rançon pour récupérer vos données, les cybercriminels demandent à la victime de faire un don à une association à but non lucratif.
Depuis la fin du mois de mars, ce ransomware surnommé MalasLocker par le média BleepingComputer, a déjà fait une centaine de victimes ! La spécialité des cybercriminels derrière ce ransomware, c'est de compromettre les serveurs de messagerie Zimbra. Sur les forums de Zimbra, il y a eu de nombreux signalements à ce sujet, et à chaque fois, les utilisateurs ont trouvé des fichiers JSP suspects dans les dossiers "/opt/zimbra/jetty_base/webapps/zimbra/" ou "/opt/zimbra/jetty/webapps/zimbra/public" de leur serveur : info.jsp, noops.jsp, ,heartbeat.jsp ou Startup1_3.jsp, ce dernier correspondant à un webshell. Au final, ce sont bien les données du serveur qui sont chiffrées.
Le chiffrement des données est accompagné du fichier "README.txt" qui correspond à l'habituelle note de rançon. Jusque là, tout est normal. Ce qui est plus surprenant, c'est le contenu de ce fichier ! Les cybercriminels ne veulent pas recevoir de l'argent directement : ils veulent que l'entreprise effectue un don à une association (qu'ils approuvent) ! Pour justifier ce choix, voici ce qui est précisé : "Contrairement aux groupes de ransomware traditionnels, nous ne vous demandons pas de nous envoyer de l'argent. Nous n'aimons tout simplement pas les entreprises et les inégalités économiques."
Pour vous inciter à faire ce don et à récupérer vos données, les pirates abattent la carte de l'avantage fiscal : "Nous vous demandons simplement de faire un don à une organisation à but non lucratif que nous approuvons. C'est gagnant-gagnant, vous pouvez probablement bénéficier d'une déduction fiscale et de bonnes relations publiques grâce à votre don, si vous le souhaitez."
Dans le cas où l'entreprise décide de ne pas faire ce fameux don, elle n'aura pas la clé de déchiffrement et ses données seront publiées sur le site de leak des cybercriminels puisqu'ils appliquent le principe de la double extorsion. Actuellement, le site de leak de MalasLocker diffuse les données volées de trois entreprises et la configuration du serveur Zimbra de 169 autres victimes.
Si les intentions des pirates sont sincères, il s'agit clairement d'une opération d'hacktivisme... Pour le moment, la question reste entière.