Pas loin des attaques signalées par « Ryuk », des nouvelles apparaissent par un nouveau ransomware baptisé « Pysa » ciblant les établissements critiques à l’échelle international pour atteindre des fins lucratives. En effet, Pysa est un descendant du ransomware « Mespinoza » et ce suite à la publication de son code source depuis Décembre 2019. Les analyses, en cours, de ce malware ont révélées que le vecteur d’infection initial est inconnu pour l’instant alors que des évènements de Brute Force sur les services RDP et ACTIVE DIRECTORY ont été observés. En plus, Pysa a utilisé des scripts « .bat », l’outil d’administration à distance PsExec, ainsi que le langage de script POWERSHELL pour abuser les solutions antiviraux.De ce fait, nous sollicitons votre réaction immédiate en appliquant les mesures suivantes:
- Sauvegarder vos données critiques dans des disques externes et des serveurs de backup protégés et isolés d’Internet.
- Mettre à jour régulièrement votre système d’exploitation, vos navigateurs Web et aussi votre solution antivirale.
- Créer périodiquement des points de restauration pour récupérer les fichiers système en cas d’infection.
- S’assurer que les accès à vos serveurs, vos équipements réseaux, vos ressources partagées et vos services en ligne (RDP, TELNET, SSH, FTP, SMB, NetBios, SMTP, POP3, etc. ...) soient limités, contrôlés et protégés avec des mots de passe robustes.
- Mettre en place des solutions de journalisation nécessaires pour contrôler les évènements survenus sur vos serveurs et vos équipements réseaux.
- Vérifier l'authenticité des expéditeurs avant la lecture de chaque message reçu par e-mail ou affiché sur votre mûr de Facebook / Twitter / Instagram et en cas de doute n’y répondez pas, ne cliquez pas sur les liens hypertextes ou les images qu’il contient et supprimer le immédiatement.
- Scanner chaque pièce jointe reçue par votre anti-virus avant de l’ouvrir.
- Scanner périodiquement votre réseau afin de déterminer les vulnérabilités existantes puis procéder à les corriger en installant les patchs correctifs depuis leurs sources officielles.