jamdesign - stock.adobe.com
Ransomware : Pysa, un groupe prolifique, mais évasif
Le groupe Pysa a revendiqué plusieurs dizaines de victimes au cours des toutes dernières semaines. La plupart ont vraisemblablement été attaquées il y a quelques mois. Mais le mode opératoire de ce groupe rend le suivi de ses activités particulièrement difficile.
Le groupe Mespinoza/Pysa a revendiqué près d’une soixantaine de nouvelles victimes au tout début du mois de novembre. Pour certaines, la revendication est assortie de la publication de données dérobées lors de l’attaque, et la date à laquelle est survenue celle-ci est précisée.
Sans surprise, certaines victimes ont été frappées il y a plusieurs mois, au printemps. Pour Marseille Métropole, Pysa avait déjà procédé de la sorte et attendu longuement avant de commencer à divulguer les données volées : la publication n’était survenue que fin août 2020, alors que le chiffrement avait été déclenché mi-mars. Au total, on connaît à ce jour 7 victimes françaises de Pysa.
Mais dans le lot de victimes revendiquées début novembre, certaines sont plus récentes, comme l’université autonome de Barcelone, frappée début octobre, ou l’Américain Ferrera Candy. Et pour beaucoup, aucune date n’a, pour l’heure, été précisée par Pysa.
Les échantillons trouvés lors d’attaques peuvent aider à estimer l’intensité de l’activité de certains cybermalfaiteurs, comme feu BlackMatter, par exemple. Mais cela ne vaut pas Pysa, notamment parce qu’ils sont rares. La règle Yara développée par Cybereason, par exemple, ne permet de faire ressortir qu’un nombre très limité d’échantillons distincts.
Début 2020, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’était penchée sur Mespinoza/Pysa, évoquant notamment des actions de furtivité qui, selon elle, visaient « davantage à permettre l’exécution du rançongiciel qu’à effacer des traces ». Mais de récentes indications venues des équipes de SecureWorks laissent à imaginer le contraire.
Ainsi, sur Twitter, l’un des consultants en réponse à incident de SecureWorks explique que le groupe « efface tout ce qu’il crée, y compris des profils utilisateur entiers ». Pysa apparaît toujours utiliser le même outil d’accès à distance développé en Go, sans en avoir changé le nom au fil du temps, ni même l’emplacement où le stocker chez les victimes. Mais, « comme plus haut, tout ce que cet [attaquant] crée, chaque outil, est effacé par lui ».
Mi-mars, le FBI avait alerté sur la menace que Pysa faisait peser sur le secteur américain de l’éducation. Quelques mois plus tard, Emsisoft soulignait que les outils de déchiffrement fournis par les cybermalfaiteurs en cas de paiement de la rançon pouvaient endommager les fichiers chiffrés par leurs soins. Et de relever au passage « des cas où Mespinoza a divulgué les données volées même après que l’entreprise victime a payé la rançon ».