Ransomware : Mespinoza frappe les collectivités locales françaises

RansomwareSécurité
Mespinoza ransomware

Le CERT-FR attire l’attention sur le ransomware Mespinoza, dont une variante est utilisée contre les collectivités territoriales françaises.

Want create site? Find Free WordPress Themes and plugins.

Le Grand Est et la Région Sud, victimes de Mespinoza ?

Le CERT-FR ne l’affirme pas, mais lance une alerte à propos de ce ransomware, impliqué dans des attaques « visant notamment des collectivités territoriales françaises »*.

Utilisé depuis au moins octobre 2018, Mespinoza produisait, à l’origine, des fichiers portant l’extension .locked.

Depuis décembre 2019, une nouvelle version est documentée en source ouverte. Produisant des fichiers en .pysa, elle semble être à la base des attaques en question.

Le malware se présente sous deux formes :

  • un exécutable (svchost.exe) accompagné de scripts batch ;
  • une archive Python qui contient entre autres une variable permettant de choisir l’extension des fichiers chiffrés. Ainsi des fichiers .newversion ont-ils été découverts sur un des SI compromis.

Chiffrement robuste ?

On ne connaît pas, à ce jour, le vecteur d’infection. Mais plusieurs événements pourraient avoir permis, d’après le CERT-FR, l’accès initial ou la latéralisation :

  • Des tentatives de connexion par force brute sur une console de supervision et sur des comptes Active Directory
  • L’exfiltration d’une base de données de mots de passe
  • Des connexions RDP illégitimes entre contrôleurs de domaine

L’un des scripts .bat exécute, sur des machines du réseau, un script PowerShell. Parmi ses fonctions :

  • L’arrêt de services, en particulier des antivirus (il peut même désinstaller Windows Defender)
  • La suppression des points de restauration et des snapshots Shadow Copy

Le chiffrement repose sur les bibliothèques pyaes et rsa. Aucune faille n’y a été découverte pour le moment, affirme le CERT-FR. Et les algorithmes utilisés « sont à l’état de l’art ». Autrement dit, il reste difficile de récupérer des données à l’heure actuelle.

* Des attaques par ransomware ont eu lieu ces dernières semaines dans le Grand Est (particulièrement à Charleville-Mézières) puis dans la Région Sud (Aix-Marseille).

Photo d’illustration © Yu. Samoilov via Visualhunt / CC BY

Did you find apk for android? You can find new Free Android Games and apps.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur 
Avis d'experts de l'IT