Recherche
En ce moment En ce moment

/ Cybersécurité

Ransomware : Mespinoza frappe les collectivités locales françaises

Le CERT-FR attire l'attention sur le ransomware Mespinoza, dont une variante est utilisée contre les collectivités territoriales françaises.

Publié par Clément Bohic le | Mis à jour le
Lecture
2 min
  • Imprimer
Ransomware : Mespinoza frappe les collectivités locales françaises

Le Grand Est et la Région Sud, victimes de Mespinoza ?

Le CERT-FR ne l'affirme pas, mais lance une alerte à propos de ce ransomware, impliqué dans des attaques « visant notamment des collectivités territoriales françaises »*.

Utilisé depuis au moins octobre 2018, Mespinoza produisait, à l'origine, des fichiers portant l'extension .locked.

Depuis décembre 2019, une nouvelle version est documentée en source ouverte. Produisant des fichiers en .pysa, elle semble être à la base des attaques en question.

Le malware se présente sous deux formes :

Lire aussi : Comment l'ANSSI veut piloter la politique cyber de l'Etat

  • un exécutable (svchost.exe) accompagné de scripts batch ;
  • une archive Python qui contient entre autres une variable permettant de choisir l'extension des fichiers chiffrés. Ainsi des fichiers .newversion ont-ils été découverts sur un des SI compromis.

Chiffrement robuste ?

On ne connaît pas, à ce jour, le vecteur d'infection. Mais plusieurs événements pourraient avoir permis, d'après le CERT-FR, l'accès initial ou la latéralisation :

  • Des tentatives de connexion par force brute sur une console de supervision et sur des comptes Active Directory
  • L'exfiltration d'une base de données de mots de passe
  • Des connexions RDP illégitimes entre contrôleurs de domaine

L'un des scripts .bat exécute, sur des machines du réseau, un script PowerShell. Parmi ses fonctions :

  • L'arrêt de services, en particulier des antivirus (il peut même désinstaller Windows Defender)
  • La suppression des points de restauration et des snapshots Shadow Copy

Le chiffrement repose sur les bibliothèques pyaes et rsa. Aucune faille n'y a été découverte pour le moment, affirme le CERT-FR. Et les algorithmes utilisés « sont à l'état de l'art ». Autrement dit, il reste difficile de récupérer des données à l'heure actuelle.

* Des attaques par ransomware ont eu lieu ces dernières semaines dans le Grand Est (particulièrement à Charleville-Mézières) puis dans la Région Sud (Aix-Marseille).

Lire aussi : Cybersécurité du secteur santé : mieux vaut prévenir que guérir !

Photo d'illustration © Yu. Samoilov via Visualhunt / CC BY

Sur le même thème

Voir tous les articles Cybersécurité
Les Podcasts de Splunk
sponsorisé
Gestion de crises : les leçons d’un DSI
Gestion de crises : les leçons d’un DSI17:35
SNCF Connect & Tech explore toutes les voies de la rés…23:13
D'une mine à la supply chain, de l'OT à l’industrie 4.…22:33
Champs d'application et exigences NIS220:52
Retour d'expérience : mise en œuvre des exigences par…20:42
Comment simplifier la sécurisation de votre réseau tou…20:23
Sécurité renforcée : comment préparer la conformité à…20:56
Le savoir-faire règlementaire international de Cloudfl…20:32
Se protéger et remédier aux Attaques de Messagerie : U…21:48
[Episode en public] Les leçons de résilience d’OVH29:04
[Énergie] La résilience du réseau et sa mesure d'impact19:43
SASE : La fusion du SD-WAN et du SSE décryptée07:42
Quand la cyber-résilience investit l’espace16:31
Sécurité Multicouche : La clé pour une entreprise rési…16:11
Remettre l’humain au centre du cyber-espace16:55
L’IA, super-pouvoir du cyberespace09:39
Les enjeux de sécurité des médias internationaux de la…14:32
L’IA, un atout pour une continuité de service public p…16:50
Une cyber-résilience à l’aune de l’IA et des régulatio…19:25
Tous les Internets se valent-ils ?10:59
Decathlon : une culture agile à l’international20:08
Comment Carrefour a transformé la crise sanitaire en t…12:48
Comment Groupama s’assure d’être résilient face aux cr…13:48
Comment impulser une culture data dans une grande entr…14:17
Hors-série : La data du futur (Volume 1)08:28
Cegid : la tête dans le Cloud22:16
Hors-série : La data du futur (Volume 2)07:30
La data au service des verres intelligents chez Essilo…09:42
La vision conseil de Deloitte sur la data et l’IA19:04
Data altruisme et IA responsable au Crédit Mutuel Arkéa11:54
[BONUS] La Data Responsable : une vision écologique23:08

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine Se connecter
Retour haut de page