L'Agence nationale de sécurité des systèmes d'information (Anssi) publie un rapport (PDF) sur des attaques par ransomware du nom de Mespinoza / Pysa. Leur origine demeure inconnue, mais elles ont notamment ciblé des collectivités territoriales en France.
Selon l'Anssi, le ransomware Mespinoza est utilisé depuis au moins octobre 2018 en laissant derrière lui des fichiers chiffrés à l'extension .locked. Une nouvelle version a été repérée en décembre 2019 avec des fichiers .pysa, d'où l'autre nom de Pysa.
?Le CERT-FR a publié un rapport les attaques par le rançongiciel Mespinoza/Pysa https://t.co/h9c1KMsgKJ
— CERT-FR (@CERT_FR) March 18, 2020
Dans l'attaque analysée par l'Anssi, le rançongiciel est une variante de Pysa avec deux formes. Un fichier exécutable (svchost.exe) avec des scripts .bat et une archive Python (17535.pyz) avec le code source du ransomware.
Des demandes de rançon sont écrites dans un anglais qualifié d'approximatif et avec des messages contenant des adresses ProtonMail générées de manière aléatoire.
Le vecteur d'infection initial demeure inconnu. L'Anssi souligne néanmoins des attaques par force brute sur une console de supervision et des comptes Active Directory, l'exfiltration d'une base de données de mots de passe avant l'attaque, des connexions RDP non autorisées à des contrôleurs de domaine.
Les cyberciminels ont également déployé une version d'un outil post-exploitation PowerShell Empire, tandis qu'un script PowerShell exécuté via un script .bat a permis d'arrêter des services dont ceux d'antivirus, voire jusqu'à désinstaller Windows Defender et même pour supprimer des points de restauration.
" Le mode opératoire observé semble compatible avec un acteur opportuniste motivé par un but lucratif ", peut-on lire dans le rapport. Pour les algorithmes de chiffrement utilisés par le ransomware, aucune faille n'a été trouvée dans l'implémentation. Ce qui n'est évidemment pas une bonne nouvelle.