[Etats-Unis] Vigilance face aux activités du groupe Mespinioza

Le 6 janvier 2022, le département de la Santé et des Services sociaux des États-Unis (HHS) a publié une alerte concernant un groupe cybercriminel connu en tant que Mespinioza (aussi appelé Cyborg Spider ou Gold Burlap).
 

Le Groupe

Actif depuis l’année 2018, Mespinioza utilise de nombreux programmes malveillants, notamment le rançongiciel Pysa. Ce groupe s’attaque au secteur gouvernemental, l’industrie, le domaine de l’éducation ainsi que le domaine de la santé. En novembre 2021, il aurait accumulé un total de 190 victimes. Les pays concernés par les attaques par rançongiciel sont les États-Unis d’Amérique, le Royaume-Uni, le Canada, l’Espagne, la France, l’Italie, et le Brésil. Comme d’autres cybercriminels, Mespinioza pratique la stratégie de la double extorsion pour faire pression sur ses victimes, un site de divulgation des données sensibles existe sous l’appellation « Pysa’s Partners ».

Le rançongiciel PYSA

Ce programme malveillant existe en plusieurs versions, elles sont écrites en C++ et Python. Partagé dans le marché noir en tant que RaaS (Ransomware-as-a-Service), Pysa est donc utilisé par différents agents affiliés au groupe. Lorsque Pysa déclenche le chiffrement des données sur le poste de travail de la victime, celle-ci voit alors l’extension (*.pysa) apparaitre.

Le domaine Santé

Selon le HHS, Pysa figure parmi les dix principales menaces de type rançongiciel. Depuis 2018 il serait aussi considéré comme le plus agressif dans ses attaques contre le domaine de la santé. Par exemple, en septembre 2021, Mespinioza a publié des données sensibles provenant de Woodholme Gastroenterology Associates. Les autres victimes célèbres du domaine santé sont Assuring Imaging où 244 813 patients furent concernés par un risque d’exfiltration de données et Nonin Medical ou 1,5 gigaoctet de données furent volées.