Rançongiciel Mespinoza / Pysa

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2020/ALERTE/009

Date de l’alerte: 20/03/2020

TLP: White

 

Aperçu de la menace

Mespinoza ou Pysa est une menace de rançongiciel récemment découverte. Après avoir analysé cette menace, il n’est pas encore possible de la lier à l’une des familles de rançongiciels existantes et ni de déterminer son origine à ce jour. Mespinoza,/ Pysa constitue une cybermenace particulièrement grave au même degré que WannaCry.

 

Description

En activité depuis Octobre 2018, Mespinosa / Pysa utilise des programmes malveillants, rendant les fichiers de la machine infectée inutilisable. Ses premières versions produisent des fichiers avec l’extension «. locked » et récemment en Décembre 2019,  la deuxième version chiffre les fichiers avec l’extension « .pysa »

Le rançon logiciel se présente sous trois versions à ce jour :

  • Un exécutable exe suivi de scripts en « .bat » qui copient l’exe dans le dossier c:\windows\temp, qui n’est pas son emplacement légitime et l’exécutent. svchost.exe est normalement situé dans c:\Windows\System32
  • Une archive python : pyz qui contient le code source du rançongicielle. Le chiffrement s’appuie sur les bibliothèques Python pyaes et rsa.

Des fichiers avec l’extension «. newversion » accompagnés d’un fichier Readme.read  ont été découverts récemment qui contient les mêmes adresses email utilisées dans les versions précédentes

 

Mode Opératoire

Tactiques et procédures du rançon logiciel Mespinoza / Pysa :

Le vecteur d’infection initial est inconnu à ce jour, mais plusieurs éléments qui surviennent avant l’attaque peuvent être liés au mode opératoire et avoir permis l’accès initial ou la latéralisation :

  • Des tentatives de brute force sur des consoles de supervision et des comptes de l’Active Directory ;
  • Une exfiltration de mots de passe a lieu peu avant l’attaque ;
  • Des connections RDP illégitimes entre le contrôleur de domaine et un nom d’hôte inconnu ;
  • La présence d’un script p.ps1 qui opère les fonctions suivantes :
    • arrête des services antiviraux et désinstallation de Windows Defender
    • supprime les points de restauration et des Shadow copy
    • modifie des fichiers README
    • envoi de paquet UDP contenant de la MAC adresse sur le port 7

 

Indicateurs de compromission

Signatures des fichiers malveillants

Nom de fichier SHA256 Taille
svchost.exe 4770A0447EBC83A36E590DA8D01FF4A418D58221C1F44D21F433AAF18FAD5A99 504.5 kb
17535.pyz 6661B5D6C8692BD64D2922D7CE4641E5DE86D70F5D8D10AB82E831A5D7005ACB 279590 octets

 

Résumé de la menace :

Type de menace Rançon logiciel, Crypto Virus, File Locker
Extension des fichiers chiffrés .locked .pysa
Nom de détection ALYac (Trojan.Ransom.Mespinoza), BitDefender (Gen:Heur.Ransom.REntS.Gen.1), ESET-NOD32 (une variante de  Win32/Filecoder.NYO), Kaspersky (Trojan.Win32.Zudochka.dlu), liste complète sur : VirusTotal
Symptômes – Impossible d’ouvrir les fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont désormais une extension différente (par exemple, my.docx.locked).

– Un message de demande de rançon s’affiche sur votre bureau. Les cybercriminels exigent le paiement d’une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthode de distribution Pièces jointes aux e-mails (macros) infectées, sites Web torrent, annonces malveillantes.
Impact – Tous les fichiers sont chiffés et ne peuvent pas être ouverts sans payer de rançon.

– Des chevaux de Troie et des infections de logiciels malveillants supplémentaires pouvant voler des mots de passe peuvent être par la suite.

 

Mesures à prendre

  1. Les indicateurs de compromission ci-dessus peuvent être bloqués et les modes opératoires recherchés pour prévenir une attaque similaire
  1. Observer les mesures d’hygiène et de sécurité classiques en parallèle
  • Sauvegarder toutes les données critiques en local et exportées hors du réseau : les opérations en architecture « backupless » en ligne sont arrêtés par le rançon logiciel ;
  • Tester les restaurations périodiques pour les cas d’urgence ;
  • Mettre à jour périodique surtout des vulnérabilités exploitables à distance. Prioriser MS08-067 MS14-068 MS17010 (Eternal Blue utilisé par wannacry) CVE-2019-0708 (BlueKeep). Les contrôleurs et autres serveurs critiques doivent être mis à jour régulièrement ;
  • Filtrer l’accès des ports réseau les plus critiques (135, 139, 445, 3389, 5585, etc.) ;
  • Utiliser des connections à distance sécurisées (VNC ne le garantit pas par défaut) qui protègent les identifiants de l’admin par rapport au système à administrer, par exemple Microsoft Remote Assistance ;
    • S’il est nécessaire d’utiliser des sessions interactives n’utiliser qu’un compte administrateur local sur chaque machine. Celui-ci doit être activé tout le temps et chaque compte devrait avoir des identifiants différents par machine ;
    • Si une session interactive n’est pas nécessaire privilégier l’utilisation des composants Microsoft Management Console (MMC) ;
  • Utiliser des comptes administrateurs de l’Active Directory dédiés et nominatifs pour garantir leur traçabilité ;
  • Minimiser au maximum les comptes de service et les comptes utilisateurs membres des groupes d’administration ;
  • Assigner au compte admin intégré (RID 500) un mot de passe complexe stocké dans un endroit sûr et utilisé en cas d’urgence ou de dernier recours ;
  • Assurer l’archivage des logs et journaux d’événements du parc nécessaires pour mener à bien les actions de réponse d’incidents et de remédiation en cas de compromission ;

 

Versions affectées

  • Attaque par le rançongiciel Mespinoza / Pysa par ANSSI France
  • https://www.pcrisk.com/removal-guides/16313-mespinoza-ransomware
  • https://www.generation-nt.com/mespinoza-pysa-ransomware-anssi-collectivites-territoriales-actualite-1974472.html
  • https://www.enigmasoftware.com/mespinozaransomware-removal/
  • https://www.silicon.fr/ransomware-mespinoza-336470.html

 

 

Partagez sur vos réseaux.