ryanking999 - stock.adobe.com
Ransomware : Pysa s’évapore en laissant derrière lui près de 750 victimes
Le groupe Pysa est aux abonnés absents depuis la fin février. Selon Prodaft, il aurait fait près de 750 victimes à travers le monde et réussi à faire céder près de 60 % d’entre elles.
Depuis près de mois, le groupe Pysa ne répond plus. Son site vitrine, où il revendiquait ses victimes n’ayant pas payé de rançon, et en divulguait les données, a été accessible en ligne pour la dernière fois le 22 février au matin. Un e-mail adressé quelques jours plus tard au groupe, généralement accessible, est toujours sans réponse. Certains suspectent que de premières arrestations soient, discrètement, survenues. Selon Allan Liska, de Recorded Future, Pysa s’était attiré l’attention du FBI. Une demi-surprise, compte tenu de la liste de ses victimes connues.
Surtout, Prodaft vient de publier un rapport complet sur Pysa, avec des détails sur l’infrastructure utilisée, des informations potentiellement utiles à des enquêtes judiciaires. Leur publication suggère que les forces de l’ordre ont potentiellement déjà obtenu ce qu’elles estimaient pouvoir obtenir en l’état de la coopération internationale.
Le rapport de Prodaft suggère un accès en profondeur à l’infrastructure utilisée par Pysa. On y apprend ainsi qu’en décembre dernier, les opérateurs du groupe « ont déployé de nouveaux serveurs d’administration afin de répondre à des problèmes d’élasticité ». Dans le cadre de cette architecture, « chaque acteur se voit assigner un serveur d’administration différent ».
En outre, selon le rapport, Pysa s’est appuyé sur les services d’Amazon, notamment pour le stockage de fichiers chiffrés : un bucket S3 contenant plus de 31 To de données a été identifié.
D’après les données collectées par Prodaft, la petite entreprise Pysa a fait au moins 747 victimes – dont des données ont été volées – depuis septembre 2020. Le niveau d’activité du groupe a atteint des records en juin et juillet 2021, avec respectivement 99 et 84 victimes.
Mais voilà, 309 victimes ont été revendiquées publiquement par Pysa, de quoi suggérer un taux de succès des opérations de cyber-extorsion d’au moins 58 %. Et encore… 90 % de l’activité de Pysa serait le fait de seulement 4 personnes.
Historiquement, le groupe s’est montré évasif. Il avait l’habitude de revendiquer ses victimes avec de nombreux mois de retard sur la survenue effective des attaques. Dans un échange d’e-mails avec la rédaction, il s’était par ailleurs dit toujours ouvert à la négociation avec elles, peu importe après combien de temps.
Surtout, Pysa prenait soin d’effacer ses traces. Début 2020, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’était penchée sur Mespinoza/Pysa, évoquant notamment des actions de furtivité qui, selon elle, visaient « davantage à permettre l’exécution du rançongiciel qu’à effacer des traces ». Mais de récentes indications venues des équipes de SecureWorks laissent à imaginer le contraire.
Ainsi, sur Twitter, l’un des consultants en réponse à incident de SecureWorks a expliqué que le groupe « efface tout ce qu’il crée, y compris des profils utilisateur entiers ». Pysa apparaît toujours utiliser le même outil d’accès à distance développé en Go, sans en avoir changé le nom au fil du temps, ni même l’emplacement où le stocker chez les victimes. Mais, « comme plus haut, tout ce que cet [attaquant] crée, chaque outil, est effacé par lui ».