Recevez chaque jour toute l'actualité du numérique

x

Les collectivités locales françaises, dont la ville de Marseille, sont la cible d'un nouveau ransomware

Hack of the week Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) alerte sur plusieurs cas de collectivités locales françaises ayant été victimes d'un rançongiciel particulièrement retors. La Ville de Marseille a notamment révélée être touchée.
Twitter Facebook Linkedin Flipboard Email
×

Les collectivités locales françaises, dont la ville de Marseille, sont la cible d'un nouveau ransomware
Les collectivités locales françaises, dont la ville de Marseille, sont la cible d'un nouveau ransomware © Creative Commons/ CC BY-NC-SA 2.0

Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) alerte sur des cyberattaques par ransomware ciblant les collectivités locales dans un bulletin publié le 18 mars 2020. Il s'agit du malware Mespinoza, repéré pour la première fois en octobre 2019.

La Ville de Marseille et la région Provence-Alpes-Côte d'Azur (Paca) ont indiqué coup sur coup, en début de semaine, avoir été "très durement touchées" par ce même rançongiciel. Ce dernier a coupé l'accès de leurs employés à des services essentiels à leur bon fonctionnement, notamment un logiciel dédié à la comptabilité.

UN CHANGEMENT DE CIBLE
Les victimes de ce ransomware étaient jusuq'à présent principalement des grandes entreprises, car elles sont plus fortunées et ont besoin de retrouver rapidement l'accès à leurs données, souvent stratégiques pour le fonctionnement de leur activité. Selon le CERT-FR, c’est donc un changement de stratégie qu’opèrent les criminels en s’en prenant à des organisations gouvernementales.

Si les méthodes utilisées pour pénétrer les réseaux ne sont pas connues, l'analyse forensique du CERT-FR laisse à penser que des attaques par force brute sur des comptes Active Directory ou des consoles de supervision sont en cause, suivi du téléchargement des identifiants et mots de passe de l'entreprise. Des connexions non autorisées aux contrôleurs de domaines via le protocole RDP ont aussi été détectées.

Pas de solution pour le moment
L’attaque pourrait encore évoluer. Le CERT-FR rapporte avoir découvert un fichier en ".newversion" dans l’un des cas examinés. Ses spécialistes, qui ont étudié les algorithmes de chiffrement employés, disent ne pas avoir été en mesure de débloquer l’accès aux fichiers pour le moment. Selon l’agence gouvernementale, le ransomware fait état d’un code "très court et spécifique", qui serait "basé sur des modules issus de bibliothèques Python publiques".

Dans un entretien à nos confrères de ZDNet, le créateur du service ID Ransomware, Michael Gillespie, a affirmé que ce type d’attaque "ne se cantonne pas à la France, puisqu'il est constaté sur tous les continents, aussi bien dans les organisations publiques que privées".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media