PYSA fidye yazılımı operasyonunun 18 aylık bir analizi, siber suç kartelinin Ağustos 2020’den itibaren beş aşamalı bir yazılım geliştirme döngüsü izlediğini ve kötü amaçlı yazılım yazarlarının iş akışlarının verimliliğini artırmaya yönelik özelliklere öncelik verdiğini ortaya koydu.
Bu, meta verilerin çıkarılmasını kolaylaştırmak ve tehdit aktörlerinin kurban bilgilerini hızlı bir şekilde bulmasını ve erişmesini sağlamak için tam metin arama motoru gibi kullanıcı dostu bir aracı içeriyordu.
İsviçreli siber güvenlik şirketi PRODAFT, “Grubun, saldırılarını başlatmadan, kurumsal sistemlerden ödün vermeden ve kuruluşları verilerini geri yüklemek için büyük fidyeler ödemeye zorlamadan önce yüksek değerli hedefleri dikkatli bir şekilde araştırdığı biliniyor.” dedim geçen hafta yayınlanan kapsamlı bir raporda.
“Sisteminizi Koruyun, Amigo”nun kısaltması olan ve Mespinoza fidye yazılımının halefi olan PYSA, ilk olarak Aralık 2019’da gözlemlendi ve 2021’in dördüncü çeyreğinde tespit edilen en yaygın üçüncü fidye yazılımı türü olarak ortaya çıktı.
Eylül 2020’den bu yana, siber suçlu çetesinin, sunucuları bu Ocak ayının başlarında çevrimdışına alınana kadar 747 kurbana ait hassas bilgileri sızdırdığına inanılıyor.
Kurbanların çoğu ABD ve Avrupa’da bulunuyor ve grup öncelikle hükümet, sağlık ve eğitim sektörlerine saldırıyor. Intel 471, Ekim-Aralık 2021 arasında kaydedilen bir fidye yazılımı saldırılarının analizinde, “Bildirilen tüm PYSA olaylarının %59,2’sini oluşturan ABD en çok etkilenen ülkeydi ve onu %13,1 ile Birleşik Krallık izledi.”
PYSA’nın, diğer fidye yazılımı aileleri gibi, bir kurbanın grubun taleplerine uymayı reddetmesi durumunda çalınan bilgilerin yayınlanmasını içeren “büyük oyun avcılığı” çifte gasp yaklaşımını izlediği bilinmektedir.
Uygun olan her dosya şifrelenir ve yalnızca fidye ödendikten sonra elde edilebilecek RSA özel anahtarını gerektiren kod çözme işlemine “.pysa” uzantısı verilir. PYSA kurbanlarının yaklaşık %58’inin dijital ödeme yaptığı söyleniyor.
PYSA operatörleri tarafından yönetilen herkese açık bir .git klasörünü bulabilen PRODAFT, projenin yazarlarından birini, yaz saati uygulaması gözlemlenen bir ülkede bulunduğuna inanılan bir tehdit aktörü olan “[email protected]” olarak tanımladı. taahhüt geçmişine dayanmaktadır.
Soruşturma, çoğunluğu 8 Ocak 2021’de oluşturulan en az 11 hesabın genel operasyondan sorumlu olduğunu söyledi. Bununla birlikte, t1, t3, t4 ve t5 adlı bu hesaplardan dördü, grubun yönetim panelindeki etkinliklerin %90’ından fazlasını oluşturuyor.
Grup üyeleri tarafından yapılan diğer operasyonel güvenlik hataları da, TOR anonimlik ağında çalışan gizli bir hizmeti (Hollanda’da bulunan bir barındırma sağlayıcısı (Snel.com BV)) tanımlamayı mümkün kıldı ve oyuncunun taktiklerine bir bakış attı.
PYSA’nın altyapısı ayrıca, halka açık sızan sunucular, veritabanı ve yönetim sunucuları dahil olmak üzere docker’lı kapsayıcıların yanı sıra şifrelenmiş dosyaları depolamak için bir Amazon S3 bulutundan oluşur ve bu da 31,47 TB’a tekabül eder.
Ayrıca, şifrelemeden önce kurbanların dahili ağlarından sızdırılan dosyalardaki gizli belgeleri aramak için özel bir sızıntı yönetim paneli de kullanıma sunuldu. Geliştirme süreçlerini yönetmek için Git sürüm kontrol sistemini kullanmanın yanı sıra, panelin kendisi Laravel çerçevesi kullanılarak PHP 7.3.12’de kodlanmıştır.
Dahası, yönetim paneli, sistemin dosyaları listelemesine, dosyaları indirmesine ve dosyaları tam metin araması için analiz etmesine olanak tanıyan çeşitli API uç noktaları sunar; bu, çalınan kurban bilgilerini kolay erişim için geniş kategorilere ayırmak üzere tasarlanmıştır.
Araştırmacı, “Grup, modern operasyonel paradigmaları grubun gelişim döngüsüne uygulayan yetkin geliştiriciler tarafından destekleniyor” dedi. “Yarı özerk tehdit aktörlerinden oluşan gevşek bir ağ yerine, iyi organize edilmiş sorumluluk dağılımına sahip profesyonel bir ortam öneriyor.”
Herhangi bir şey varsa, bulgular PYSA ve Conti gibi fidye yazılımı çetelerinin faaliyet gösterdiğinin bir başka göstergesidir. yapılandırılmış beğenmek meşru yazılım şirketleriBile dahil olmak üzere yeni işe alımlar için bir İK departmanı ve zorlu sorunların üstesinden gelmek için “ayın çalışanı” ödülü.
Açıklama, siber güvenlik şirketi Sophos’tan da bir rapor olarak geliyor. bulundu iki veya daha fazla tehdit aktörü grubunun, yılın başında bir LockBit fidye yazılımı yükünü dağıtmadan önce, adı açıklanmayan bir bölgesel ABD devlet kurumu ağı içinde en az beş ay geçirdiğini.
