Ransomware : Mespinoza frappe les collectivités locales françaises

Clément Bohic,
Mespinoza ransomware

Le CERT-FR attire l’attention sur le ransomware Mespinoza, dont une variante est utilisée contre les collectivités territoriales françaises.

Le Grand Est et la Région Sud, victimes de Mespinoza ?

Le CERT-FR ne l’affirme pas, mais lance une alerte à propos de ce ransomware, impliqué dans des attaques « visant notamment des collectivités territoriales françaises »*.

Utilisé depuis au moins octobre 2018, Mespinoza produisait, à l’origine, des fichiers portant l’extension .locked.

Depuis décembre 2019, une nouvelle version est documentée en source ouverte. Produisant des fichiers en .pysa, elle semble être à la base des attaques en question.

Le malware se présente sous deux formes :

  • un exécutable (svchost.exe) accompagné de scripts batch ;
  • une archive Python qui contient entre autres une variable permettant de choisir l’extension des fichiers chiffrés. Ainsi des fichiers .newversion ont-ils été découverts sur un des SI compromis.

Chiffrement robuste ?

On ne connaît pas, à ce jour, le vecteur d’infection. Mais plusieurs événements pourraient avoir permis, d’après le CERT-FR, l’accès initial ou la latéralisation :

  • Des tentatives de connexion par force brute sur une console de supervision et sur des comptes Active Directory
  • L’exfiltration d’une base de données de mots de passe
  • Des connexions RDP illégitimes entre contrôleurs de domaine

L’un des scripts .bat exécute, sur des machines du réseau, un script PowerShell. Parmi ses fonctions :

  • L’arrêt de services, en particulier des antivirus (il peut même désinstaller Windows Defender)
  • La suppression des points de restauration et des snapshots Shadow Copy

Le chiffrement repose sur les bibliothèques pyaes et rsa. Aucune faille n’y a été découverte pour le moment, affirme le CERT-FR. Et les algorithmes utilisés « sont à l’état de l’art ». Autrement dit, il reste difficile de récupérer des données à l’heure actuelle.

* Des attaques par ransomware ont eu lieu ces dernières semaines dans le Grand Est (particulièrement à Charleville-Mézières) puis dans la Région Sud (Aix-Marseille).

Photo d’illustration © Yu. Samoilov via Visualhunt / CC BY