教育部门的网络安全问题在过去几个月里变得更加复杂。美国联邦调查局(FBI)最近在3月中旬发出警告,提醒美国和英国的学校注意此事增加攻击来自PYSA勒索软件背后的威胁

如果这是你第一次听说这个家庭,请继续读下去。

什么是PYSA勒索软件?

PYSA数据泄露站点的主页图像(由Marcelo Rivero提供)

PYSA勒索软件是梅斯皮诺萨勒索软件的变种。

PYSA是“Protect Your System Amigo”的缩写,于2019年12月在开源文件中首次被命名,比messpinoza早两个月在野外发现.梅斯皮诺萨最初用的是.上锁加密文件上的扩展名,然后转换为使用皮萨先生.因此,许多人将PYSA和mesinoza这两个名字互换使用。

和许多已知的勒索软件家族一样,PYSA被归类为ransomware-as-a-service(老城)工具。这意味着它的开发者已经将这种现成的勒索软件出租给了犯罪组织,而犯罪组织在技术上可能还不够精明,无法生产自己的勒索软件。PYSA客户可以根据RaaS小组提供的选项进行定制,并根据自己的喜好进行部署。PYSA能够在加密被勒索的文件之前过滤受害者的数据。

根据威胁情报公司Intel 471的说法,PYSA/Mespinoza是一家第2层RaaS算子因为它在地下名声鹊起。这样做的操作人员或机组人员有一个页面,叫做“泄露名单”,在那里他们列出并羞辱那些决定不支付赎金的受害者。受害者名单上附有一个附件,其中包含威胁行动者从他们那里窃取的文件。

PYSA的“泄露名单”博客使用了老式的MS-DOS主题和ASCII艺术。威胁行为者明确称他们的受害者组织为“合作伙伴”。必威客服app(Marcelo Rivero提供)

PYSA勒索软件至少有三种已知的感染媒介:针对管理控制台和活动目录(AD)帐户、钓鱼电子邮件和未经授权的远程桌面协议(RDP)与域控制器的连接。一旦进入网络,威胁参与者就会利用高级端口扫描器和高级IP扫描器扫描文件,两者都是免费软件,并使用PsExec

然后,威胁参与者在过滤出他们需要利用的所有数据后,在网络内手动执行勒索软件。文件使用AES使用rsa加密的密钥实现。

谁被皮萨袭击了?

众所周知,PYSA的目标是大型私人组织和属于医疗保健行业的组织。它们还打击了多个大陆的政府组织。最近,在美国和英国,PYSA越来越多地被用来对付教育机构。

以下是涉及PYSA的不全面事件列表:

  • 2020年3月,CERT法国发出警告向法国地方政府报告PYSA的攻击增加。
  • 2020年5月,澳大利亚资金管理公司MyBudget经历了一次“中断”,持续了13天(5月9日至5月22日)。泄露的数据出现在PYSA的博客上。然后公司后来证实5月29日向iTWire透露,长时间停机是由勒索软件攻击造成的。然而,下个月,消息人士注意到MyBudget的名字和文件被从PYSA的博客上删除,导致一些人猜测,尽管如此,MyBudget可能已经支付了赎金保证它“无意参与赎金要求”。
  • 2020年10月,一场“严重的网络攻击”影响了英国伦敦哈克尼委员会(Hackney Council),使其无法处理住房福利支付,并导致购房量下降。虽然他们一开始对整个事件守口如瓶,但人们已经知道,PYSA勒索软件威胁行为人是这次袭击的幕后策划者在泄露了数据之后,他们从公司潜逃了出去2021年1月。

恶意软件能必威平台APP检测到PYSA勒索软件吗?

我们肯定做的。我们发现的是赎金,梅斯皮诺萨

折衷指标(IOCs)

SHA256散列:

  • 7fd3000a3afbf077589c300f90b59864ec1fb716feba8e288ed87291c8fdf7c3
  • e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead
  • a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
  • 327934 c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
  • e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8
  • 327934 c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
  • f0939ebfda6b30a330a00c57497038a54da359e316e0d6e6e71871fd50fec16a
  • 48355 bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3
  • 0f0014669bc10a7d87472cafc05301c66516857607b920ddeb3039f4cb8f0a50
  • 61bb42fe06b3511d512af33ef59baa295b29bd62eb4d0bf28639c7910a65e4ae
  • 425945 a93beb160f101d51de36363d1e7ebc45279987c3eaf5e7f183ed0a3776
  • a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
  • 5510年ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560
  • 1A0FF707938A1399E23AF000567806A687FFF9B8789AE43BADD28D4BEF1FB81
  • b1381635c936e8de92cfa26938c80a359904c1d709ef11ee286ba875cfb7b330

赎金说明文件,自述。README,包含以下内容:

你好,

你所有设备上的每个字节都被加密了。
不要尝试使用备份,因为它也是加密的。

要恢复您的所有数据,请与我们联系:
{2@protonmail.com电子邮件地址}

- - -

常见问题解答:

1.

问:我怎样才能确保你不是在愚弄我呢?

A:您可以寄给我们2个文件(最大2mb)。

2.

问:如何取回所有数据?

A:不要重启电脑,不要移动文件,不要写我们。

3.

问:怎么告诉我的老板?

A:保护你的系统,朋友。