Mespinoza : la France alerte sur des attaques par ransomware de collectivités territoriales

Le par  |  2 commentaire(s)
ransomware

Des collectivités territoriales en France sont prises pour cible par un ransomware Mespinoza / Psya. Le CERT-FR publie un rapport avec l'analyse d'une cyberattaque.

L'Agence nationale de sécurité des systèmes d'information (Anssi) publie un rapport (PDF) sur des attaques par ransomware du nom de Mespinoza / Pysa. Leur origine demeure inconnue, mais elles ont notamment ciblé des collectivités territoriales en France.

Selon l'Anssi, le ransomware Mespinoza est utilisé depuis au moins octobre 2018 en laissant derrière lui des fichiers chiffrés à l'extension .locked. Une nouvelle version a été repérée en décembre 2019 avec des fichiers .pysa, d'où l'autre nom de Pysa.

Dans l'attaque analysée par l'Anssi, le rançongiciel est une variante de Pysa avec deux formes. Un fichier exécutable (svchost.exe) avec des scripts .bat et une archive Python (17535.pyz) avec le code source du ransomware.

Des demandes de rançon sont écrites dans un anglais qualifié d'approximatif et avec des messages contenant des adresses ProtonMail générées de manière aléatoire.

Le vecteur d'infection initial demeure inconnu. L'Anssi souligne néanmoins des attaques par force brute sur une console de supervision et des comptes Active Directory, l'exfiltration d'une base de données de mots de passe avant l'attaque, des connexions RDP non autorisées à des contrôleurs de domaine.

Les cyberciminels ont également déployé une version d'un outil post-exploitation PowerShell Empire, tandis qu'un script PowerShell exécuté via un script .bat a permis d'arrêter des services dont ceux d'antivirus, voire jusqu'à désinstaller Windows Defender et même pour supprimer des points de restauration.

ransomware

" Le mode opératoire observé semble compatible avec un acteur opportuniste motivé par un but lucratif ", peut-on lire dans le rapport. Pour les algorithmes de chiffrement utilisés par le ransomware, aucune faille n'a été trouvée dans l'implémentation. Ce qui n'est évidemment pas une bonne nouvelle.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2094535
C'est con que le Bitcoin s'effondre... Ulysse est déjà dans une autre galaxie ==>[]
Le #2094592
"Pour les algorithmes de chiffrement utilisés par le ransomware, aucune faille n'a été trouvée dans l'implémentation. Ce qui n'est évidemment pas une bonne nouvelle."

Vite envoyons ce bout de code source aux grandes entreprises qui éditent des messageries chiffrées ! Il paraît qu'on a pas vu une implémentation correcte depuis la guerre.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme