3月16日,联邦调查局(FBI)在本月对教育部门的攻击袭击之后发布了一个“闪光”警报,特别是教育部门的机构,特别高,K-12和研讨会。根据警戒[PDF],美国的英国和12个州已经受到这个赎金软件家庭的影响。
Pysa,也被称为Mespinoza,于2019年10月在野外发现,最初是针对大型企业网络使用的。
CERT FRANCE.发出警报一年前关于PYSA扩大其覆盖范围包括法国政府组织,以及法国以外的其他政府和机构。Pysa被归类为大型游戏猎人之一,加入了队伍ryuk.那迷宫, 和SodInokibi(Revil)。“大型游戏”赎金软件攻击整个组织,威胁演员手动操作他们的赎金软件,在花时间闯入和组织的网络以及进行侦察之后。
Pysa / Mespinoza可以通过网络钓鱼活动或暴力迫使抵达受害者的网络远程桌面协议(RDP)获得访问权限的凭据。
在下载和引爆赎金软件有效载荷之前,还发现使用高级端口扫描仪和高级IP扫描仪等开源工具进行网络侦察的威胁演员。它们还安装其他此类工具,例如Mimikatz,Koadic和PowerShell Empire(仅为几个),以升级权限并横向移动。
威胁演员在网络上停用安全保护,exfiltrate文件,并将被盗数据上载到Mega.nz,云存储和文件共享服务。此后,然后部署并执行Pysa。所有加密文件在Windows和Linux中,这两个平台这个勒索Ware主要是目标,将有.pysa.后缀。
联邦调查局报告还揭示了可能对受害者发生的可能性的双重污染策略:“在以前的事件中,网络演员被灭绝的就业记录包含个人可识别的信息(PII),工资税信息和可用于勒索的其他数据
受害者支付赎金。“
在过去的六个月中,联邦调查局和其他执法机构一直警告教育部门对他们的威胁活动增加。这不仅限于赎金软件攻击。网络钓鱼活动和域名typosquatting.也发挥作用。
FBI的“Flash”警报包括这些推荐的潜在目标的缓解。
防止攻击:
- 安装安全更新对于操作系统,软件和固件发布时,请释放。
- 使用多因素身份验证尽可能。
- 避免重用密码对于不同的帐户并实现密码更改的最短可接受的时间范围。
- 禁用未使用的RDP端口并监视远程访问/ RDP日志。
- 审核用户帐户具有管理权限,并配置您可以使用最低权限的访问控制。
- 使用最新的防病毒和所有主机上的反恶意软件软件。
- 只使用安全网络并避免使用公共Wi-Fi网络。考虑安装和使用VPN。
- 考虑添加电子邮件横幅来自组织外面的消息。
- 禁用超链接在收到的电子邮件中。
- 为用户提供培训论信息安全原理和技术以及新兴网络安全风险。
减轻攻击的影响:
- 资料备份并使用空气隙和密码,使他们无法进入攻击者。
- 使用网络分段使横向运动更加困难。
- 实施恢复计划并在物理上分开,分段的安全位置保持多个敏感或专有数据的副本。
评论