Une analyse de 18 mois de l’op\u00e9ration de ran\u00e7ongiciel PYSA a r\u00e9v\u00e9l\u00e9 que le cartel de la cybercriminalit\u00e9 a suivi un cycle de d\u00e9veloppement logiciel en cinq \u00e9tapes \u00e0 partir d’ao\u00fbt 2020, les auteurs de logiciels malveillants donnant la priorit\u00e9 aux fonctionnalit\u00e9s pour am\u00e9liorer l’efficacit\u00e9 de ses flux de travail.<\/p>\n
Cela comprenait un outil convivial comme un moteur de recherche en texte int\u00e9gral pour faciliter l’extraction des m\u00e9tadonn\u00e9es et permettre aux acteurs de la menace de trouver et d’acc\u00e9der rapidement aux informations sur les victimes.<\/p>\n
“Le groupe est connu pour rechercher soigneusement des cibles de grande valeur avant de lancer ses attaques, compromettant les syst\u00e8mes d’entreprise et obligeant les organisations \u00e0 payer des ran\u00e7ons importantes pour restaurer leurs donn\u00e9es”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 PRODAFT. mentionn\u00e9<\/a> dans un rapport exhaustif publi\u00e9 la semaine derni\u00e8re.<\/p>\n PYSA, abr\u00e9viation de “Protect Your System, Amigo” et successeur du ransomware Mespinoza, a \u00e9t\u00e9 observ\u00e9 pour la premi\u00e8re fois en d\u00e9cembre 2019 et est devenu la troisi\u00e8me souche de ransomware la plus r\u00e9pandue d\u00e9tect\u00e9e au cours du quatri\u00e8me trimestre 2021.<\/p>\n Depuis septembre 2020, le gang de cybercriminels aurait exfiltr\u00e9 des informations sensibles appartenant \u00e0 pas moins de 747 victimes jusqu’\u00e0 ce que ses serveurs soient mis hors ligne au d\u00e9but de janvier.<\/p>\n La plupart de ses victimes se trouvent aux \u00c9tats-Unis et en Europe, le groupe frappant principalement les secteurs du gouvernement, de la sant\u00e9 et de l’\u00e9ducation. “Les \u00c9tats-Unis ont \u00e9t\u00e9 le pays le plus touch\u00e9, repr\u00e9sentant 59,2\u00a0% de tous les \u00e9v\u00e9nements PYSA signal\u00e9s, suivis du Royaume-Uni \u00e0 13,1\u00a0%”, a not\u00e9 Intel 471 dans une analyse des attaques de ransomware enregistr\u00e9es d’octobre \u00e0 d\u00e9cembre 2021.<\/p>\n PYSA, comme d’autres familles de ran\u00e7ongiciels, est connue pour suivre l’approche de la \u00ab\u00a0chasse au gros gibier\u00a0\u00bb de la double extorsion, qui consiste \u00e0 rendre publiques les informations vol\u00e9es si une victime refuse de se conformer aux exigences du groupe.<\/p>\n Chaque fichier \u00e9ligible est crypt\u00e9 et re\u00e7oit une extension “.pysa”, d\u00e9codage qui n\u00e9cessite la cl\u00e9 priv\u00e9e RSA qui ne peut \u00eatre obtenue qu’apr\u00e8s avoir pay\u00e9 la ran\u00e7on. Pr\u00e8s de 58 % des victimes de la PYSA auraient effectu\u00e9 des paiements num\u00e9riques.<\/p>\n PRODAFT, qui a pu localiser un dossier .git accessible au public et g\u00e9r\u00e9 par les op\u00e9rateurs de PYSA, a identifi\u00e9 l’un des auteurs du projet comme “dodo@mail.pcc”, un acteur mena\u00e7ant qui se trouverait dans un pays qui observe l’heure d’\u00e9t\u00e9. en fonction de l’historique des commits.<\/p>\n Au moins 11 comptes, dont une majorit\u00e9 ont \u00e9t\u00e9 cr\u00e9\u00e9s le 8 janvier 2021, seraient en charge de l’ensemble de l’op\u00e9ration, a r\u00e9v\u00e9l\u00e9 l’enqu\u00eate. Cela dit, quatre de ces comptes \u2014 nomm\u00e9s t1, t3, t4 et t5 \u2014 repr\u00e9sentent plus de 90 % de l’activit\u00e9 sur le panel de direction du groupe.<\/p>\n D’autres erreurs de s\u00e9curit\u00e9 op\u00e9rationnelles commises par les membres du groupe ont \u00e9galement permis d’identifier un service cach\u00e9 fonctionnant sur le r\u00e9seau d’anonymat TOR \u2014 un h\u00e9bergeur (Snel.com BV) situ\u00e9 aux Pays-Bas \u2014 offrant un aper\u00e7u des tactiques de l’acteur.<\/p>\n L’infrastructure de PYSA se compose \u00e9galement de conteneurs dockeris\u00e9s, y compris des serveurs de fuite publics, des serveurs de base de donn\u00e9es et de gestion, ainsi qu’un cloud Amazon S3 pour stocker les fichiers chiffr\u00e9s, qui repr\u00e9sentent un \u00e9norme 31,47 To.<\/p>\n Un panneau de gestion des fuites personnalis\u00e9 est \u00e9galement utilis\u00e9 pour rechercher des documents confidentiels dans les fichiers exfiltr\u00e9s des r\u00e9seaux internes des victimes avant le cryptage. Outre l’utilisation du syst\u00e8me de contr\u00f4le de version Git pour g\u00e9rer les processus de d\u00e9veloppement, le panneau lui-m\u00eame est cod\u00e9 en PHP 7.3.12 \u00e0 l’aide du framework Laravel.<\/p>\n De plus, le panneau de gestion expose une vari\u00e9t\u00e9 de points de terminaison API qui permettent au syst\u00e8me de r\u00e9pertorier les fichiers, de t\u00e9l\u00e9charger des fichiers et d’analyser les fichiers pour la recherche en texte int\u00e9gral, qui est con\u00e7ue pour classer les informations sur les victimes vol\u00e9es en grandes cat\u00e9gories pour une r\u00e9cup\u00e9ration facile.<\/p>\n “Le groupe est soutenu par des d\u00e9veloppeurs comp\u00e9tents qui appliquent des paradigmes op\u00e9rationnels modernes au cycle de d\u00e9veloppement du groupe”, a d\u00e9clar\u00e9 le chercheur. “Cela sugg\u00e8re un environnement professionnel avec une r\u00e9partition des responsabilit\u00e9s bien organis\u00e9e, plut\u00f4t qu’un r\u00e9seau l\u00e2che d’acteurs de la menace semi-autonomes.”<\/p>\n Au contraire, les r\u00e9sultats sont un autre indicateur que les gangs de ran\u00e7ongiciels comme PYSA et Conti op\u00e8rent et sont organis\u00e9<\/a> aimer \u00e9diteurs de logiciels l\u00e9gitimes<\/a>m\u00eame y compris<\/a> un service des ressources humaines pour recruter de nouvelles recrues et un prix \u00ab\u00a0l’employ\u00e9 du mois\u00a0\u00bb pour la r\u00e9solution de probl\u00e8mes difficiles. <\/p>\n La divulgation provient \u00e9galement d’un rapport de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sophos trouv\u00e9<\/a> que deux groupes d’acteurs mena\u00e7ants ou plus ont pass\u00e9 au moins cinq mois au sein du r\u00e9seau d’une agence gouvernementale r\u00e9gionale am\u00e9ricaine anonyme avant de d\u00e9ployer une charge utile de ran\u00e7ongiciel LockBit au d\u00e9but de l’ann\u00e9e.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650289873_176_Des-chercheurs-partagent-une-analyse-approfondie-du-groupe-PYSA-Ransomware.jpg\")
<\/div>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjcqY4edida-1uBdhqYqWHPZoPTskwTUp8_pI5VHpPJang-4cR16dXrM9w1fozwgQHuJAd2l6onGd607upcSP8J-iqXeSA0sSlT9oqzzm80L4E3bzv9bnNRr6bKb3TWzs0jvvnQ3sW29F3yCiWmPFRUcD6wAFrZBMBP-2miIsFLqFCqP5JnuEUc3Vmj\/s728-e100\/ransomware-2.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n