Site Logo

Le ransomware PYSA multiplie les attaques contre les écoles

Thèmes:
25 juin 2021
|
Christine Barry

Les établissements scolaires subissent les assauts répétés des ransomwares et autres formes d'attaques depuis de nombreuses années, mais le groupe criminel à l'origine de PYSA a musclé son jeu grâce à la mise au point d'un nouveau trojan d'accès à distance baptisé « ChaChi ».

Les trojans d'accès à distance permettent aux pirates d'accéder aux systèmes infectés et de les contrôler, mais revenons un peu en arrière. Bien que les logiciels d'accès à distance existent depuis les années 80, leur utilisation en tant que malware remonte seulement à la fin des années 90 suite à l'apparition des fameux trojans. Ces derniers permettent de déguiser les logiciels d'accès à distance afin de franchir les systèmes de défense de votre réseau ou de vos terminaux sans que vous ayez à intervenir. Une fois confortablement installés dans votre réseau, ils s'appuient sur des techniques de furtivité et d'offuscation pour échapper aux mécanismes de défense. Le rapport d'IBM de 2020 sur le coût des violations de données a établi que le délai moyen pour identifier une violation causée par une attaque malveillante était de 230 jours.

PYSA est un type de ransomware utilisé dans les nouvelles attaques visant de « gros gibiers », c'est-à-dire des cibles susceptibles de payer les rançons demandées. L'acronyme PYSA signifie « Protect Your System Amigo » (« Protège ton système amigo »), une formule que l'on peut lire sur le message de rançon adressé aux victimes.


Le trojan ChaChi rend les attaques PYSA plus dangereuses


Les auteurs du ransomware PYSA utilisent désormais le trojan ChaChi pour cibler les établissements scolaires dans leurs projets de double extorsion. Bien que la recette mêlant trojans et ransomwares soit relativement courante, l'association de PYSA et de ChaChi est préoccupante.

Lorsque PYSA accède aux réseaux des victimes, il effectue une reconnaissance à l'aide d'outils tels qu'Advanced Port Scanner et Advanced IP Scanner, puis installe une panoplie d'autres outils, dont Koadic, WinSCP ou encore Mimikatz. Les pirates informatiques utilisent ces outils pour se déplacer latéralement dans le système, accroître leurs privilèges et exfiltrer des données sensibles avant de chiffrer tous les appareils Windows et Linux. PYSA est proposé en tant que Ransomware-as-a-Service et a été associé à plusieurs attaques confirmées. Ses vecteurs d'infection connus sont les attaques par force brute, les e-mails de phishing et les connexions non autorisées au protocole de bureau à distance (RDP) sur les contrôleurs de domaine.

Le trojan ChaChi a été mis au point en 2019 et a été affiné pour inclure des capacités de redirection de port, de tunneling DNS et d'offuscation. Il fournit les fonctions de commande et de contrôle (C2) aux pirates PYSA via les protocoles DNS et HTTP. ChaChi fait partie d'une famille grandissante de malwares développés en Go (alias « Golang »), ce qui leur procure un avantage considérable du point de vue de l'efficacité. En effet, ce type de malwares présentent trois avantages pour les pirates informatiques :

  • La prise en charge de la compilation multiplateforme, ce qui signifie qu'une base de code peut prendre en charge des exécutables pour plusieurs systèmes d'exploitation ;

  • La difficulté à effectuer une rétro-ingénierie sur les exécutables Go, ce qui réduit la probabilité de détection de ces malwares ;

  • Le fait que le Go intègre une solide pile réseau et tous les outils nécessaires pour manipuler les paquets et les requêtes réseau.


En mars, le FBI a publié un bulletin d'alerte mettant en garde contre les attaques visant les établissements d'enseignement primaire, secondaire et supérieur, ainsi que les séminaires. Depuis, plusieurs écoles aux États-Unis et au Royaume-Uni ont été touchées par PYSA et ChaChi. L'équipe de recherche Blackberry a publié une analyse détaillée de cette attaque.

Le phishing est la technique favorite de nombreux pirates informatiques. Barracuda fournit une protection anti-phishing basée sur l'IA qui détecte et neutralise les menaces que les passerelles de messagerie sont incapables de repérer. Protégez votre réseau contre les 13 types de menaces par e-mail grâce à la solution Total Email Protection de Barracuda.

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware
Security awareness computer based training could save your business
Security awareness computer based training could save your business
A new innovation wave for email security
A new innovation wave for email security
Journée internationale du backup – L'erreur est... humaine
Journée internationale du backup – L'erreur est... humaine