Une nouvelle opération de rançongiciel pirate les serveurs Zimbra pour voler des e-mails et chiffrer des fichiers. Cependant, au lieu d’exiger le paiement d’une rançon, les acteurs de la menace prétendent exiger un don à une association caritative pour fournir un crypteur et empêcher la fuite de données.
L’opération de ransomware, baptisée MalasLocker par Breachtrace , a commencé à chiffrer les serveurs Zimbra vers la fin mars 2023, les victimes signalant à la fois dans les forums Breachtrace et Zimbra que leurs e-mails étaient chiffrés.
De nombreuses victimes dans les forums Zimbra rapportent avoir trouvé des fichiers JSP suspects téléchargés dans les dossiers /opt/zimbra/jetty_base/webapps/zimbra/ ou /opt/zimbra/jetty/webapps/zimbra/public.
Ces fichiers ont été trouvés sous différents noms, notamment info.jsp, noops.jsp et heartbeat.jsp [VirusTotal]. Startup1_3.jsp [VirusTotal], que Breachtrace a trouvé, est basé sur un webshell open-source.
Lors du chiffrement des e-mails, aucune extension de fichier supplémentaire n’est ajoutée au nom du fichier. Cependant, le chercheur en sécurité MalwareHunterTeam a déclaré à Breachtrace qu’ils ajoutent un message « Ce fichier est crypté, recherchez README.txt pour les instructions de décryptage » à la fin de chaque fichier crypté.
On ne sait pas pour le moment comment les acteurs de la menace violent les serveurs Zimbra.
Une demande de rançon inhabituelle
Le crypteur créera également des notes de rançon nommées README.txt qui accompagnent une demande de rançon inhabituelle pour recevoir un décrypteur et empêcher la fuite de données volées : un don à un organisme de bienfaisance à but non lucratif qu’ils « approuvent ».
« Contrairement aux groupes de rançongiciels traditionnels, nous ne vous demandons pas de nous envoyer de l’argent. Nous n’aimons tout simplement pas les entreprises et les inégalités économiques », lit-on dans la note de rançon de MalasLocker.
« Nous vous demandons simplement de faire un don à une organisation à but non lucratif que nous approuvons. C’est un gagnant-gagnant, vous pouvez probablement obtenir une déduction fiscale et de bonnes relations publiques grâce à votre don si vous le souhaitez. »
Les notes de rançon contiennent soit une adresse e-mail pour contacter les acteurs de la menace, soit une URL TOR qui inclut l’adresse e-mail la plus récente du groupe. La note comporte également une section de texte encodé en Base64 en bas qui est nécessaire pour recevoir un décrypteur, que nous aborderons plus en détail plus tard dans l’article.
Bien que les notes de rançon ne contiennent pas de lien vers le site de fuite de données du gang de rançongiciels, l’analyste des menaces d’Emsisoft, Brett Callow, a trouvé un lien vers leur site de fuite de données, intitulé « Somos malas… podemos ser peores », traduit en » Nous sommes mauvais… nous pouvons être pires. »
Le site de fuite de données MalasLocker distribue actuellement les données volées pour trois entreprises et la configuration Zimbra pour 169 autres victimes.
La page principale du site de fuite de données contient également un long message rempli d’emoji expliquant ce qu’ils représentent et les rançons dont ils ont besoin.
« Nous sommes un nouveau groupe de logiciels de rançon qui a chiffré les ordinateurs des entreprises pour leur demander de donner de l’argent à qui ils veulent », lit-on sur le site de fuite de données MalasLocker.
« Nous leur demandons de faire un don à une organisation à but non lucratif de leur choix, puis d’enregistrer l’e-mail qu’ils reçoivent confirmant le don et de nous l’envoyer afin que nous puissions vérifier la signature DKIM pour nous assurer que l’e-mail est réel. »
Cette demande de rançon est très inhabituelle et, si elle est honnête, place davantage l’opération dans le domaine de l’hacktivisme.
Cependant, Breachtrace n’a pas encore déterminé si les acteurs de la menace tiennent parole lorsqu’une victime donne de l’argent à un organisme de bienfaisance pour un décrypteur.
Cryptage d’âge peu commun
Breachtrace n’a pas été en mesure de trouver le chiffreur pour l’opération MalasLocker. Cependant, le bloc encodé en Base64 dans la note de rançon décode en un en-tête d’outil de chiffrement Age requis pour déchiffrer la clé de déchiffrement privée d’une victime.
L’outil de chiffrement Age a été développé par Filippo Valsorda, cryptographe et responsable de la sécurité Go chez Google, et utilise les algorithmes X25519 (une courbe ECDH), ChaChar20-Poly1305 et HMAC-SHA256.
Il s’agit d’une méthode de chiffrement peu courante, avec seulement quelques opérations de ransomware qui l’utilisent, et toutes ne ciblant pas les appareils Windows.
Le premier était AgeLocker, découvert en 2020 et l’autre a été trouvé par MalwareHunterTeam en août 2022, tous deux ciblant les appareils QNAP.
De plus, les notes de rançon de la campagne QNAP et d’AgeLocker partagent un langage similaire, liant davantage ces deux opérations au moins.
Bien qu’il s’agisse au mieux d’un maillon faible, le ciblage d’appareils non Windows et l’utilisation du chiffrement Age par toutes ces opérations de ransomware pourraient indiquer qu’elles sont liées.