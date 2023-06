C'est avec cette phrase, écrite en espagnol, que l'on est accueilli sur le site hébergeant les données volées par un groupe anonyme qui déploie depuis au moins fin mars le ransomware MalasLocker, nommé ainsi par nos confrères de BleepingComputer. Les pirates ciblent visiblement les utilisateurs de Zimbra, un outil de collaboration en ligne pour les professionnels. Les premiers messages signalant des activations du ransomware sont apparus en ligne fin mars avant de prendre de l'ampleur en avril.

Comme d'habitude, l'utilisateur voit ses fichiers ou son interface bloqués, et peut seulement consulter un fichier .txt qui contient la démarche à suivre et la somme à payer pour obtenir la clé de déchiffrement qui débloque tout. Dans le cas de MalasLocker, le tout est présenté comme une forme d'activisme :



« Contrairement aux groupes traditionnels utilisant des rançongiciels, nous ne vous demandons pas de nous envoyer de l'argent. Nous n'aimons tout simplement pas les entreprises et les inégalités économiques. Nous vous demandons simplement de faire un don à une association que nous approuvons. C'est une situation gagnant-gagnant, et vous pouvez probablement obtenir une déduction fiscale et de bonnes relations publiques grâce à votre don si vous le souhaitez. »

À l'heure actuelle, près de 180 cibles auraient été atteintes, dont trois entreprises identifiées. Le groupe refuse de cibler l'Afrique et l'Amérique latine, ou tout « pays colonisé », à l'exception de quelques gros investisseurs étrangers. Il ciblera les petites entreprises aux États-Unis, en Europe et en Russie. Une fois bloqués par le ransomware, les utilisateurs doivent fournir la copie de l'e-mail confirmant le don pour obtenir une clé de déchiffrement. Sans ça ou des contre-mesures adaptées, les données peuvent se retrouver en ligne.