Un pirate meurt, un autre revient

Le groupe Egregor a disparu des espaces pirates. Le groupe Pysa revient en force après quatre mois de silence.

Le groupe pirate Pysa, opérateur du ransomware éponyme, refait surface quasiment tous les quatre mois. À se demander si le « boss » de cette bande de maîtres chanteurs n’est pas un marin au long cours, un militaire de retour d’opération ou une personne qui ne peut se connecter à son quartier général qu’à une période donnée.

Je me pose cette question, qui doit certainement avoir d’autres réponses, car Pysa / Mespinoza « is back« .

Souvenez-vous, septembre 2020, le pirate et ses partenaires, Pysa étant un rançongiciel en location, sortait des fosses du web « Sud-Américaines » web pour annoncer de nombreuses prises d’otages, dont celles ayant impactées la ville de Dublin en Californie (USA) ou encore la commune de Crets en Belle Donne et la Métropole Marseille-Provence (France).

Dans la nuit du 5 janvier 2021, Pysa est sorti de sa torpeur hivernale en affichant plusieurs dizaines de nouvelles victimes. « Originalité » de ce groupe, si on peut parler « d’originalité », ils diffusent les données volées à leurs victimes plusieurs mois après l’infiltration.

Ce 5 janvier, trente-trois entreprises piégées aux quatre coins du globe : Espagne, USA, Roumanie, Italie, Argentine, Brésil, Israël … Des sociétés privées, des écoles ou encore des communes, comme la ville britannique d’Hackney.

Cette ville a connu la cyberattaque Pysa, selon mes informations, le 3 novembre 2020. La commune a alerté ses administrés en indiquant sur sa page officielle : « Les services du Conseil sont actuellement fortement perturbés par une grave cyber-attaque, et vous pourriez éprouver des difficultés à nous contacter ou à utiliser nos services […] Nous travaillons dur pour restaurer les services, protéger les données et enquêter sur l’attaque avec le Centre national de sécurité informatique, l’Agence nationale de lutte contre la criminalité et des experts externes.« 

La commune indique que la majorité de ses services sont impactés, dont celui dédié à la « Protection des données« .

Les pirates ont diffusé une cinquantaine de dossiers zippés. J’ai pu constater qu’ils contenaient des milliers de données personnelles (mails, Ressources humaines, identités, photos …).

Pendant ce temps, le groupe Egregor, très actifs ces dernières semaines, a totalement disparu des espaces pirates (darkweb et blackmarket). Les cinq espaces qu’ils exploitaient sont H.S. Panne ? Changement de stratégie ? Ou vacances prolongées entre 4 murs … ou 4 planches ?

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ » Ransomware : janvier 2021

  2. Pingback: ZATAZ » Le code pirate Emotet va disparaitre le 25 mars

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.