© Kaspersky
© Kaspersky

Un groupe de « hacktivistes » a récemment lancé une opération prenant la forme d'un ransomware dénommé MalasLocker, qui exige des dons en échange d'une clé de décryptage.

Le groupe anonyme, pourtant visiblement récent, revendique déjà près de 180 cibles.

« Nous sommes mauvais… Nous pouvons être pires »

C'est avec cette phrase, écrite en espagnol, que l'on est accueilli sur le site hébergeant les données volées par un groupe anonyme qui déploie depuis au moins fin mars le ransomware MalasLocker, nommé ainsi par nos confrères de BleepingComputer. Les pirates ciblent visiblement les utilisateurs de Zimbra, un outil de collaboration en ligne pour les professionnels. Les premiers messages signalant des activations du ransomware sont apparus en ligne fin mars avant de prendre de l'ampleur en avril.

Comme d'habitude, l'utilisateur voit ses fichiers ou son interface bloqués, et peut seulement consulter un fichier .txt qui contient la démarche à suivre et la somme à payer pour obtenir la clé de déchiffrement qui débloque tout. Dans le cas de MalasLocker, le tout est présenté comme une forme d'activisme :

« Contrairement aux groupes traditionnels utilisant des rançongiciels, nous ne vous demandons pas de nous envoyer de l'argent. Nous n'aimons tout simplement pas les entreprises et les inégalités économiques. Nous vous demandons simplement de faire un don à une association que nous approuvons. C'est une situation gagnant-gagnant, et vous pouvez probablement obtenir une déduction fiscale et de bonnes relations publiques grâce à votre don si vous le souhaitez. »

À l'heure actuelle, près de 180 cibles auraient été atteintes, dont trois entreprises identifiées. Le groupe refuse de cibler l'Afrique et l'Amérique latine, ou tout « pays colonisé », à l'exception de quelques gros investisseurs étrangers. Il ciblera les petites entreprises aux États-Unis, en Europe et en Russie. Une fois bloqués par le ransomware, les utilisateurs doivent fournir la copie de l'e-mail confirmant le don pour obtenir une clé de déchiffrement. Sans ça ou des contre-mesures adaptées, les données peuvent se retrouver en ligne.

© BleepingComputer
© BleepingComputer

Un activisme déclaré et un outil adapté

Le groupe à l'origine de ce ransomware a mis en ligne une sorte de FAQ qui précise sa démarche. Il y explique notamment qu'exiger un don permet d'éviter les accusations de détournement et détaille la philosophie derrière ces attaques. Ces hacktivistes déclarent ne pas estimer que toutes les entreprises sont foncièrement mauvaises, mais que l'idée même de croissance repose sur le vol. Partant de ce postulat, ils souhaitent voler tout ce qu'ils peuvent. Ils ajoutent d'ailleurs n'avoir aucune sympathie pour les entreprises touchées, car elles n'en ont pas pour eux et que, de toute façon, ils « s'en fichent ». Soit les cibles payent, soit les données se retrouvent en ligne.

Brett Callow, analyste pour Emsisoft, met l'accent sur la facilité de l'utilisation du ransomware pour ce genre d'opération : « Le rançongiciel est un excellent outil pour les hacktivistes pour les mêmes raisons que c'est un excellent outil pour les extorqueurs à but lucratif : les barrières à l'entrée sont faibles, et il a le potentiel de provoquer des perturbations massives. »

Ce constat est partagé par les hacktivistes, qui pensent que « les rançongiciels ne devraient pas être l'affaire de quelques groupes russes ». Quoi qu'il en soit, les analystes ont repéré une méthode de chiffrement qui n'est que rarement utilisée et qui laisse à penser que le jeune groupe pourrait être lié de près ou de loin à des ransomwares déployés en 2020 et 2022. Bien évidemment, que ce soit pour son propre profit ou pour pousser au don, l'utilisation de ransomware est répréhensible.

Source : CyberScoop