Onderzoekers delen diepgaande analyse van PYSA Ransomware Group

Des chercheurs partagent une analyse approfondie du groupe PYSA Ransomware Nachrichten

Een 18 maanden durende analyse van de PYSA ransomware-operatie heeft aangetoond dat het cybercriminaliteitskartel vanaf augustus 2020 een vijftraps softwareontwikkelingscyclus volgde, waarbij de malware-auteurs prioriteit gaven aan functies om de efficiëntie van de workflows te verbeteren.

Dit omvatte een gebruiksvriendelijke tool zoals een full-text zoekmachine om de extractie van metadata te vergemakkelijken en de bedreigingsactoren in staat te stellen snel slachtofferinformatie te vinden en te openen.

„Het is bekend dat de groep zorgvuldig hoogwaardige doelen onderzoekt voordat ze aanvallen lanceert, bedrijfssystemen in gevaar brengt en organisaties dwingt grote losgelden te betalen om hun gegevens te herstellen“, aldus het Zwitserse cyberbeveiligingsbedrijf PRODAFT. zei in een uitputtend rapport dat vorige week werd gepubliceerd.

PYSA, een afkorting voor „Protect Your System, Amigo“ en een opvolger van de Mespinoza-ransomware, werd voor het eerst waargenomen in december 2019 en is naar voren gekomen als de op twee na meest voorkomende ransomware-stam die in het vierde kwartaal van 2021 is gedetecteerd.

Sinds september 2020 wordt aangenomen dat de cybercriminele bende gevoelige informatie van maar liefst 747 slachtoffers heeft geëxfiltreerd totdat de servers eerder in januari offline werden gehaald.

De meeste slachtoffers bevinden zich in de VS en Europa, waarbij de groep vooral de overheid, de gezondheidszorg en het onderwijs treft. „De VS waren het meest getroffen land, goed voor 59,2% van alle gerapporteerde PYSA-gebeurtenissen, gevolgd door het VK met 13,1%“, merkte Intel 471 op in een analyse van ransomware-aanvallen die van oktober tot december 2021 werden geregistreerd.

Het is bekend dat PYSA, net als andere ransomware-families, de „big game hunting“-benadering van dubbele afpersing volgt, wat inhoudt dat de gestolen informatie openbaar wordt gemaakt als een slachtoffer weigert te voldoen aan de eisen van de groep.

Elk in aanmerking komend bestand wordt versleuteld en krijgt de extensie „.pysa“, decodering die de RSA-privésleutel vereist die alleen kan worden verkregen na betaling van het losgeld. Bijna 58% van de PYSA-slachtoffers zou digitale betalingen hebben gedaan.

PRODAFT, die in staat was een openbaar beschikbare .git-map te lokaliseren die werd beheerd door PYSA-operators, identificeerde een van de auteurs van het project als „dodo@mail.pcc“, een bedreigingsacteur waarvan wordt aangenomen dat hij zich in een land bevindt dat zomertijd in acht neemt gebaseerd op de commit-geschiedenis.

Uit het onderzoek is gebleken dat minstens 11 accounts, waarvan de meerderheid op 8 januari 2021 is aangemaakt, de leiding hebben over de algehele operatie. Dat gezegd hebbende, vier van deze accounts – genaamd t1, t3, t4 en t5 – zijn goed voor meer dan 90% van de activiteit in het managementpanel van de groep.

Andere operationele beveiligingsfouten die door de leden van de groep zijn gemaakt, maakten het ook mogelijk om een ​​verborgen dienst te identificeren die draait op het TOR-anonimiteitsnetwerk – een hostingprovider (Snel.com BV) gevestigd in Nederland – die een glimp opvangt van de tactieken van de acteur.

De infrastructuur van PYSA bestaat ook uit gedockte containers, waaronder openbare lekservers, database- en beheerservers, evenals een Amazon S3-cloud om de versleutelde bestanden op te slaan, wat neerkomt op een enorme 31,47 TB.

Er wordt ook gebruik gemaakt van een aangepast paneel voor lekbeheer om vertrouwelijke documenten te doorzoeken in de bestanden die zijn geëxfiltreerd uit de interne netwerken van slachtoffers voorafgaand aan versleuteling. Naast het gebruik van het Git-versiebeheersysteem om de ontwikkelingsprocessen te beheren, is het paneel zelf gecodeerd in PHP 7.3.12 met behulp van het Laravel-framework.

Bovendien onthult het beheerpaneel een verscheidenheid aan API-eindpunten waarmee het systeem bestanden kan weergeven, bestanden kan downloaden en de bestanden kan analyseren voor full-text zoeken, wat is ontworpen om de gestolen slachtofferinformatie in brede categorieën te categoriseren om ze gemakkelijk terug te kunnen vinden.

„De groep wordt ondersteund door competente ontwikkelaars die moderne operationele paradigma’s toepassen op de ontwikkelingscyclus van de groep“, aldus de onderzoeker. „Het suggereert een professionele omgeving met een goed georganiseerde verdeling van verantwoordelijkheden, in plaats van een los netwerk van semi-autonome dreigingsactoren.“

Als er iets is, zijn de bevindingen nog een andere indicator dat ransomware-bendes zoals PYSA en Conti opereren en zijn georganiseerd Leuk vinden legitieme softwarebedrijvenook al inclusief een HR-afdeling om nieuwe medewerkers te werven en een prijs voor „werknemer van de maand“ voor het aanpakken van uitdagende problemen.

De onthulling komt ook als een rapport van cyberbeveiligingsbedrijf Sophos gevonden dat twee of meer groepen van bedreigingsactoren ten minste vijf maanden binnen het netwerk van een niet nader genoemde regionale Amerikaanse overheidsinstantie hebben doorgebracht voordat ze aan het begin van het jaar een LockBit-ransomware-payload implementeerden.

David
Rate author
Hackarizona