Protection contre les ransomwares pour les écoles

Le ransomware PYSA multiplie les attaques contre les écoles

Version imprimable, PDF et e-mail

Les établissements scolaires subissent les assauts répétés des ransomwares et autres formes d'attaques depuis de nombreuses années, mais le groupe criminel à l'origine de PYSA a musclé son jeu grâce à la mise au point d'un nouveau trojan d'accès à distance baptisé « ChaChi ».

Les trojans d'accès à distance permettent aux pirates d'accéder aux systèmes infectés et de les contrôler, mais revenons un peu en arrière. Bien que les logiciels d'accès à distance existent depuis les années 1980, leur utilisation en tant que malware remonte seulement à la fin des années 1990 suite à l'apparition des fameux trojans. Ces derniers permettent de déguiser les logiciels d'accès à distance afin de franchir les systèmes de défense de votre réseau ou de vos terminaux sans que vous ayez à intervenir. Une fois confortablement installés dans votre réseau, ils s'appuient sur des techniques de furtivité et d'offuscation pour échapper aux mécanismes de défense. Le rapport 2020 d'IBM sur le coût des violations de données a établi que le délai moyen pour identifier une violation causée par une attaque malveillante était de 230 jours.

PYSA est un type de ransomware utilisé dans les nouvelles attaques visant de « gros gibiers », c'est-à-dire des cibles susceptibles de payer les rançons demandées. L'acronyme PYSA signifie « Protect Your System Amigo » (« Protège ton système amigo »), une formule que l'on peut lire sur le message de rançon adressé aux victimes.

Le trojan ChaChi rend les attaques PYSA plus dangereuses

Les auteurs du ransomware PYSA utilisent désormais le trojan ChaChi pour cibler les établissements scolaires dans leurs projets de double extorsion. Bien que la recette mêlant trojans et ransomwares soit relativement courante, l'association de PYSA et de ChaChi est préoccupante.

Lorsque PYSA accède aux réseaux des victimes, il effectue une reconnaissance à l'aide d'outils tels qu'Advanced Port Scanner et Advanced IP Scanner, puis installe une panoplie d'autres outils, dont Koadic, WinSCP ou encore Mimikatz. Les pirates informatiques utilisent ces outils pour se déplacer latéralement dans le système, accroître leurs privilèges et exfiltrer des données sensibles avant de chiffrer tous les appareils Windows et Linux. PYSA est proposé en tant que Ransomware-as-a-Service et a été associé à plusieurs attaques confirmées. Ses vecteurs d'infection connus sont les attaques par force brute, les e-mails de phishing et les connexions non autorisées au protocole de bureau à distance (RDP) sur les contrôleurs de domaine.

Le trojan ChaChi a été mis au point en 2019 et a été affiné pour inclure des capacités de redirection de port, de tunneling DNS et d'offuscation. Il fournit les fonctions de commande et de contrôle (C2) aux pirates PYSA via les protocoles DNS et HTTP. ChaChi fait partie d'une famille grandissante de malwares développés en Go (alias « Golang »), ce qui leur procure un avantage considérable du point de vue de l'efficacité. En effet, ce type de malwares présentent trois avantages pour les pirates informatiques :

  • La prise en charge de la compilation multiplateforme, ce qui signifie qu'une base de code peut prendre en charge des exécutables pour plusieurs systèmes d'exploitation ;
  • La difficulté à effectuer une rétro-ingénierie sur les exécutables Go, ce qui réduit la probabilité de détection de ces malwares ;
  • Le fait que le Go intègre une solide pile réseau et tous les outils nécessaires pour manipuler les paquets et les requêtes réseau.

En mars, le FBI a publié un bulletin d'alerte mettant en garde contre les attaques visant les établissements d'enseignement primaire, secondaire et supérieur, ainsi que les séminaires. Depuis, plusieurs écoles aux États-Unis et au Royaume-Uni ont été touchées par PYSA et ChaChi. L'équipe de recherche Blackberry a publié une analyse détaillée de cette attaque.

Le phishing est la technique favorite de nombreux pirates informatiques. Barracuda fournit une protection anti-phishing basée sur l'IA qui détecte et neutralise les menaces que les passerelles de messagerie sont incapables de repérer. Protégez votre réseau contre les 13 types de menaces par e-mail grâce à la solution Total Email Protection de Barracuda.

 

Remonter en haut de page
Tweeter
Partager
Partager