Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : Le gang rançongiciel MESPINOZA toujours plus actif ! - Unit42/Palo Alto Networks

juillet 2021 par Unit42/Palo Alto Networks

Le groupe de conseil en cybersécurité Unit 42 de Palo Alto Networks dévoile le profil du très prolifique gang rançongiciel Mespinoza, qui a mené des attaques contre des acteurs américains de l’édition, de l’immobilier, de la fabrication industrielle et de l’éducation, avec des demandes de rançon d’environ 1,6 million de dollars et des bénéfices de 470 000 dollars.

Principaux constats :
• Une grande discipline : Une fois qu’il a accédé à un nouveau réseau, le gang recherche des mots clés, dont les mots anglais suivants : « clandestine », « fraud », « ssn » (n° de sécurité sociale), « permis de conduire », « passeport » et « I-9 » (formulaire d’admissibilité à l’emploi), ce qui laisse penser qu’il recherche des fichiers sensibles qui seront susceptibles d’avoir le plus d’impact en cas de divulgation.
• Des cibles très diverses : Le gang appelle les entités victimes de ses attaques des « partenaires ». L’emploi de ce terme semble indiquer que ses membres s’appliquent à gérer le groupe comme une entreprise professionnelle et voient dans leurs victimes des partenaires commerciaux qui financent leurs bénéfices. Leur site de fuite d’information a fourni des données appartenant prétendument à 187 de leurs victimes, entités de nombreux secteurs : éducation, fabrication, grande distribution, médecine, administration, haute technologie, transport et logistique, ingénierie et services sociaux, etc.
• Une couverture mondiale : 55 % des victimes identifiées sur le site de fuites de données sont situées aux Etats-Unis. Les autres sont disséminées dans plus de 20 pays, dont les suivants : France, Canada, Brésil, Royaume-Uni, Italie, Espagne, Allemagne, Afrique du sud et Australie.
• Des approches percutantes : Une demande de rançon donnait notamment ce conseil : « What to tell my boss ? » « Protect Your System, Amigo ».
• Des outils d’attaque aux noms créatifs et fantaisistes : « MagicSocks », notamment, est l’un des outils que le gang utilise pour capitaliser sur les failles des réseaux afin d’y pirater les données. Un composant stocké sur son serveur de simulation et qui sert probablement à masquer les attaques s’appelle « HappyEnd.bat ».

Avec la multiplication des cas de cyber extorsion, les gangs rançongiciels changent constamment de tactique et de modèle économique pour augmenter leurs chances d’obtenir de leurs victimes qu’elles paient des rançons toujours plus importantes. Ces organisations criminelles sont de plus en plus sophistiquées et prennent de plus en plus l’apparence d’entreprises professionnelles.

Bon exemple de ces types de cybercriminels, Mespinoza est un groupe prolifique qui appelle volontiers ses outils d’hacking par des noms fantaisistes. Notre groupe de conseil en cybersécurité Unit 42 a observé que ce gang attaquait des acteurs américains de l’édition, de l’immobilier, de la fabrication industrielle et de l’éducation, avec des demandes de rançon de pas moins de 1,6 million de dollars, et avait réussi à leur extorquer pas moins de 470 000 dollars. Le FBI a récemment publié une alerte concernant ce gang, également appelé PYSA, suite à une série d’attaques menées contre des écoles, des universités, et même des séminaires, à la fois aux Etats-Unis et au Royaume-Uni.

Pour en savoir davantage sur ce groupe, nous avons observé son infrastructure – y compris un serveur de commandement et de contrôle (C2) qu’il utilise pour gérer ses attaques, et un site de fuite d’information, où il poste des données des victimes qui ont refusé de payer des rançons importantes. Voici les principaux constats concernant ce gang Mespinoza :

Dans le cadre d’un récent incident, les acteurs d’une menace ont déployé le rançongiciel Mespinoza (également appelé Pysa) en accédant à un système via un bureau à distance et en déroulant une série de scripts de commande qui utilisent l’outil PsExec pour copier et exécuter le rançongiciel sur d’autres systèmes du réseau. Avant d’étendre le déploiement du rançongiciel à d’autres systèmes, le cyberattaquant exécute des scripts PowerShell sur les autres systèmes du réseau pour exfiltrer les fichiers voulus et pour maximiser l’impact du rançongiciel.

Il ressort des attaques de Mespinoza telles que celles documentées dans le présent rapport de l’Unit42 un certain nombre de tendances que l’on peut observer actuellement parmi les acteurs des menaces via rançongiciel, qui de toute évidence permettent de mener efficacement les attaques, et qui rendent les rançongiciels faciles et simples à utiliser dans les attaques. Comme dans les autres attaques au rançongiciel, Mespinoza entre par la grande porte – les serveurs RDP (Remote Desktop Protocol) en interface avec internet – et a donc moins besoin de créer des e-mails de phishing, de faire du piratage psychologique, d’exploiter les vulnérabilités des logiciels ou de mener d’autres activités qui prennent plus de temps et qui sont plus coûteuses. Les assaillants évitent aussi d’autres coûts en utilisant des outils en open source gratuits et disponibles en ligne, ou bien des outils intégrés qui leur permettent de se nourrir du terrain, autant d’approches qui leur permettent d’optimiser leur frais et leurs bénéfices.

La recherche de serveurs RDP sur internet est facile à automatiser. Le 2021 Cortex Xpanse Attack Surface Threat Reportnote que parmi les entreprises du monde entier couvertes par l’enquête dont il donne les résultats, et sur l’ensemble des problèmes de sécurité pouvant exister, le problème le plus courant (32 %) est celui du RDP.




Voir les articles précédents

    

Voir les articles suivants