Les cyberattaques n'épargnent personne. Pas même les collectivités dont les villes de Marseille et de Martigues ainsi que la métropole Aix-Marseille-Provence qui ont été visées ce week-end par un ransowmare. Alertée et sollicitée par les équipes IT et sécurité des organismes touchés, l'agence nationale de la sécurité des systèmes d'information a publié dans un document des informations permettant de mieux comprendre le fonctionnement du logiciel malveillant qui a été utilisé - en l'occurrence Mespinoza/Pysa et le mode opératoire des cyberpirates.

« Lors de ces attaques, des codes malveillants de type rançongiciel ont été utilisés, rendant certains fichiers inutilisables. L’origine de ces attaques est inconnue à ce jour, et des analyses sont actuellement en cours », a prévenu l'Anssi. « La compromission présentée dans ce document a touché des systèmes d’information interconnectés, et semble utiliser principalement une variante d’un rançongiciel connu en source ouverte sous le nom de Mespinoza ».

Un code inconnu pour créer des fichiers de rançons découvert

Le logiciel malveillant Mespinoza est utilisé depuis au moins octobre 2018, mais depuis décembre dernier, une nouvelle version a été documentée, connue sous l'appellation Pysa. Le rançongiciel utilisé dans la présente attaque semble être une variante de Pysa : « Deux versions en ont été découvertes lors des investigations : un fichier exécutable nommé svchost.exe accompagné de plusieurs scripts .bat notamment chargés de copier l’exécutable dans le dossier « C:\windows\temp » (qui n’est pas l’emplacement légitime de l’hôte de service standard) et de l’exécuter. Et une archive Python 17535.pyz, contenant le code source Python du rançongiciel. La fonctionnalité de chiffrement s’appuie sur les bibliothèques Python pyaes et rsa [T1486] », précise l'ANSSI.

Aussi bien l'un que l'autre de ces fichiers malveillants sont conçus pour créer un fichier de demande de rançon qui s'affiche sous forme de pop-up dans le premier cas, ou d'un fichier txt portant le nom « RECOVER_YOUR_DATA ». D'après les premières investigations de l'Anssi, un troisième code à l'origine de la création de ces fichiers a été découvert mais pas encore identifié. L'un des scripts utilisés par les pirates permet d'exécuter un script Power-shell (p.psi) dont les fonctions permettent d'arrêter les services antivirus et désinstaller Windows Defender, supprimer des points de restauration et des shadow copy.

Des règles basiques mais essentielles d'hygiène informatique 

« Plusieurs agents de l’outil de post-exploitation Empire ont été découverts sur des contrôleurs de domaine des systèmes d’information compromis. Bien qu’aucun lien technique n’ait été établi avec l’utilisation du rançongiciel Pysa, il est probable que ces codes malveillants aient été utilisés par le même mode opératoire », note par ailleurs l'agence. « Les techniques, tactiques et procédures utilisées sont classiques et n’ont pas montré à ce jour de techniques d’attaques particulièrement évoluées ».

Les principaux conseils d'hygiène informatique permettent souvent d'éviter le pire. Plus que jamais, il est donc très vivement recommandé d'effectuer des sauvegardes régulières des données (sur site distant et dans le cloud et pas seulement on-premise), mettre à jour régulièrement applications et systèmes. « Privilégiez un compte utilisateur pour vos usages courants. Ne faites pas confiance à l’expéditeur de courriers électroniques dont l’origine ou la forme vous semblent douteuses. Méfiez-vous des pièces jointes et des liens suspects », prévient aussi l'Anssi.