Pyza/Mespinosa : l’Anssi décortique l’attaque ayant visé Marseille

L’Anssi a publié un rapport détaillant le fonctionnement et les tactiques du groupe propageant le ransomware Pyza/Mespinosa. L’agence indique auprès de l’AFP que ce ransomware est notamment responsable de l’attaque ayant visé les villes de Marseille, de Martigues et la métropole Aix-Marseille-Provence. Les collectivités territoriales sont aujourd’hui une cible de choix pour les cybercriminels : la ville de Charleville-Mézières a également été victime d’une attaque similaire dans le courant de la semaine dernière et on a vu la région Grand Est touchée par un ransomware en début d’année.

L’Anssi indique ici que le ransomware en question est connu depuis 2018 et se présente sous plusieurs variantes, nommées Pyza ou Mespinosa selon les extensions ajoutées aux fichiers chiffrés par le logiciel malveillant. Les développeurs de ce logiciel font apparemment évoluer leur outil au fil des attaques : l’Anssi évoque ainsi une possible troisième version de ce ransomware qui ajoute l’extension .newversion aux fichiers chiffrés. L’Anssi indique que le code de cette version n’a pas encore été analysé mais que des similitudes existent dans la note de rançon. « Puisque le code source Python de Pysa contient une variable permettant de choisir l’extension des fichiers chiffrés, il est également possible que les fichiers “.newversion” aient été générés par une autre instance de Pysa », précise néanmoins l’agence.

Pas de faiblesse dans le chiffrement

Concernant le vecteur d’infection initial, l’Anssi concède que celui-ci n’a pas été déterminé avec précision pour l’instant. L’agence indique néanmoins avoir constaté des compromissions d’une base de données de mots de passe, la compromission de comptes administrateurs et des attaques par force brute visant une console de supervision et plusieurs comptes Active Directory.

Le groupe utilisant le malware se distingue également par son utilisation de plusieurs outils légitimes (Psexec, Powershell) ainsi que par l’utilisation du programme Empire, un framework de post exploitation. « Bien qu’aucun lien technique n’ait été établi avec l’utilisation du rançongiciel Pysa, il est probable que ces codes malveillants aient été utilisés par le même mode opératoire », écrit l’agence dans son rapport. Pour ceux qui auraient été victimes de ce ransomware, le rapport apporte une mauvaise nouvelle : le chiffrement utilisé par le logiciel malveillant ne semble pas contenir de faille manifeste permettant de décrypter les données sans la clé. Il vaut mieux donc prévenir que guérir (ou pire encore, payer).

L’Anssi donne dans son rapport une dizaine de recommandations visant à sécuriser les systèmes d’informations : on y retrouve des conseils classiques, comme la nécessité d’avoir des sauvegardes sur un support entièrement déconnecté du réseau ou de maintenir une archive des logs, ainsi que d’autres, plus spécifiques au modus operandi du groupe utilisant ce rançongiciel. Quelques indicateurs de compromission, utilisés par les logiciel d’Endpoint Detection Response pour identifier les attaques, sont également disséminés au sein du rapport mais pour l’instant, l’Anssi n’a pas publié de marqueurs au format JSON comme cela avait été le cas pour le groupe Maze.