Les serveurs Zimbra ciblés par le rançongiciel MalasLocker.
Le rançongiciel MalasLocker cible les serveurs Zimbra et exige un don caritatif.
Une nouvelle opération de rançongiciel pirate les serveurs Zimbra pour voler des e-mails et chiffrer des fichiers. Cependant, au lieu d’exiger le paiement d’une rançon, les acteurs de la menace prétendent exiger un don à une association caritative pour fournir un chiffreur et empêcher la fuite de données.
L’opération de ransomware, baptisée MalasLocker par Bleeping Computer, a commencé à chiffrer les serveurs Zimbra vers la fin mars 2023, les victimes signalant à la fois dans les forums Bleeping Computer et Zimbra que leurs e-mails étaient chiffrés. (Sources)
Le site de fuite de données MalasLocker distribue actuellement les données volées pour trois entreprises et la configuration Zimbra pour 169 autres victimes.
Les pirates installent souvent des webshells sur des systèmes Zimbra corrigés, puis attendent un certain temps avant d’abuser du système compromis. Surtout sur les systèmes où les correctifs de sécurité critiques ont été installés trop tard, tout semble aller bien, alors qu’en fait un pirate a déjà eu accès au système, mais n’a pas encore fait d’autres activités malveillantes. Pour vérifier si la vulnérabilité est potentiellement exploitée sur un serveur non corrigé, recherchez les entrées de journal suivantes sur le serveur de boîtes aux lettres. (Sources)
Une violation de données est le rejet intentionnel ou non sécurisé de l'information au sein d'un environnement non sécurisé. Les autres termes de ce phénomène peuvent être la divulgation de l'information, la fuite de données et également le déversement de données. Une violation de données est un incident de sécurité transmettant des données sensibles, protégées ou confidentielles, qui sont volées ou utilisées par une personne non autorisée à le faire. Le phishing et le scraping sont largement utilisés pour voler des informations à l'insu de l'internaute et de l'entreprise.
Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée.
Il est courant que les gangs de ransomwares exploitent des vulnérabilités connues pour obtenir un accès initial aux réseaux cibles. Les ransomwares sont des logiciels malveillants conçus pour chiffrer les données d’un système ou d’un réseau et exiger une rançon en contrepartie de la fourniture d’une clé de déchiffrement. Les gangs de ransomwares recherchent en permanence de nouvelles façons d’infiltrer les systèmes via des failles critiques. Ces groupes de pirates peuvent tirer parti de vulnérabilités logicielles connues pour réussir leurs cyberattaques. Malgré le paiement de la rançon, certains groupes cybercriminels peu scrupuleux n’hésitent pas à diffuser les informations volées sur le dark net.
D’où l’importance de maintenir à jour les systèmes, les réseaux et les logiciels avec les derniers correctifs de sécurité. Il s’agit de mettre en œuvre des solutions de sécurité robustes telles que des pare-feu et des logiciels antivirus. Il va sans dire qu’il faut aussi adopter des bonnes pratiques en matière de cybersécurité et sensibiliser le personnel aux risques de pénétration dans les réseaux. La sensibilisation des utilisateurs est cruciale et complémentaire à une sauvegarde régulière du système et des données afin de réduire les risques d’attaque par rançongiciel.
