Ransomware : Mespinoza frappe les collectivités locales françaises
Le CERT-FR attire l'attention sur le ransomware Mespinoza, dont une variante est utilisée contre les collectivités territoriales françaises.
Le Grand Est et la Région Sud, victimes de Mespinoza ?
Le CERT-FR ne l'affirme pas, mais lance une alerte à propos de ce ransomware, impliqué dans des attaques « visant notamment des collectivités territoriales françaises »*.
Utilisé depuis au moins octobre 2018, Mespinoza produisait, à l'origine, des fichiers portant l'extension .locked.
Depuis décembre 2019, une nouvelle version est documentée en source ouverte. Produisant des fichiers en .pysa, elle semble être à la base des attaques en question.
Le malware se présente sous deux formes :
- un exécutable (svchost.exe) accompagné de scripts batch ;
- une archive Python qui contient entre autres une variable permettant de choisir l'extension des fichiers chiffrés. Ainsi des fichiers .newversion ont-ils été découverts sur un des SI compromis.
Chiffrement robuste ?
On ne connaît pas, à ce jour, le vecteur d'infection. Mais plusieurs événements pourraient avoir permis, d'après le CERT-FR, l'accès initial ou la latéralisation :
- Des tentatives de connexion par force brute sur une console de supervision et sur des comptes Active Directory
- L'exfiltration d'une base de données de mots de passe
- Des connexions RDP illégitimes entre contrôleurs de domaine
L'un des scripts .bat exécute, sur des machines du réseau, un script PowerShell. Parmi ses fonctions :
- L'arrêt de services, en particulier des antivirus (il peut même désinstaller Windows Defender)
- La suppression des points de restauration et des snapshots Shadow Copy
Le chiffrement repose sur les bibliothèques pyaes et rsa. Aucune faille n'y a été découverte pour le moment, affirme le CERT-FR. Et les algorithmes utilisés « sont à l'état de l'art ». Autrement dit, il reste difficile de récupérer des données à l'heure actuelle.
* Des attaques par ransomware ont eu lieu ces dernières semaines dans le Grand Est (particulièrement à Charleville-Mézières) puis dans la Région Sud (Aix-Marseille).
Photo d'illustration © Yu. Samoilov via Visualhunt / CC BY
Sur le même thème
Voir tous les articles Cybersécurité