Η γαλλική υπηρεσία για την ασφάλεια στον κυβερνοχώρο, France CERT (CERT-FR), εξέδωσε μια προειδοποίηση σχετικά με μια νέα συμμορία ransomware που έχει ήδη πραγματοποιήσει επιθέσεις σε τοπικά κυβερνητικά δίκτυα.
Σύμφωνα με την ομάδα ασφαλείας, οι εγκληματίες επιτίθενται, χρησιμοποιώντας μια νέα έκδοση του Mespinoza ransomware, γνωστό και ως Pysa ransomware.
Αυτό το ransοmware εντοπίστηκε για πρώτη φορά τον Οκτώβριο του 2019. Σύμφωνα με τις εκθέσεις που είχαν δημοσιευτεί τότε, τα θύματα ανέφεραν ότι τα κρυπτογραφημένα αρχεία τους έπαιρναν την επέκταση .locked.
Μια νέα έκδοση του Mespinoza εντοπίστηκε δύο μήνες αργότερα, τον Δεκέμβριο του 2019. Αυτή τη φορά, το ransomware τοποθετούσε την επέκταση .pysa στα κρυπτογραφημένα αρχεία. Γι’ αυτό το λόγο, είναι γνωστό και με το όνομα Pysa.
Σε αυτές τις επιθέσεις, τα περισσότερα από τα θύματα ήταν εταιρείες. Αυτό υποδηλώνει ότι η ομάδα πίσω από αυτό το νέο ransomware στόχευε κυρίως μεγάλα εταιρικά δίκτυα, προφανώς για να μπορεί να ζητήσει περισσότερα χρήματα για λύτρα.
Τώρα, η CERT-FR λέει ότι η συμμορία πίσω από το Pysa ransοmware στοχεύει γαλλικούς οργανισμούς. Η υπηρεσία έχει λάβει ειδοποιήσεις για πολλαπλές επιθέσεις.
Δεν γνωρίζουμε πώς η ransomware συμμορία μολύνει τα θύματά της
Η CERT-FR δήλωσε ότι εξακολουθεί να κάνει έρευνα για να ανακαλύψει τον τρόπο με τον οποίο η συμμορία Pysa αποκτά πρόσβαση στα δίκτυα του θύματος. Ωστόσο, υπάρχουν κάποια στοιχεία που βοηθούν τους ερευνητές να κάνουν κάποιες υποθέσεις.
Για παράδειγμα, η CERT-FR δήλωσε ότι υπάρχουν στοιχεία που υποδηλώνουν ότι η συμμορία Pysa ξεκινά με brute-force επιθέσεις σε κονσόλες διαχείρισης και λογαριασμούς Active Directory.
Στη συνέχεια, οι hackers κλέβουν βάσεις δεδομένων με λογαριασμούς και κωδικούς πρόσβασης της εταιρείας.
Τα θύματα ανέφεραν επίσης ότι είδαν μη εξουσιοδοτημένες συνδέσεις RDP στα domain controllers.
Επιπλέον, η συμμορία Pysa ανέπτυξε μια έκδοση του PowerShell Empire penetration-testing εργαλείου, σταμάτησε διάφορα προϊόντα προστασίας από ιούς και σε ορισμένες περιπτώσεις απεγκατέστησε το Windows Defender.
Η CERT-FR ανέφερε ότι βρήκε και μια νέα επέκταση αρχείου. Αντί για .pysa, το ransomware τοποθετούσε την επέκταση .newversion.
Οι ερευνητές δήλωσαν ότι ανέλυσαν το ransomware και τους αλγόριθμους κρυπτογράφησης, αλλά δεν κατάφεραν να βρουν κάποια σφάλματα, που θα επέτρεπαν στα θύματα να παρακάμψουν την πληρωμή των λύτρων και να αποκρυπτογραφήσουν δωρεάν τα αρχεία τους.
Σύμφωνα με τη CERT-FR, ο κώδικας του Pysa ransomware είναι “συγκεκριμένος και πολύ σύντομος” και “βασίζεται σε δημόσιες Python libraries”.
Ωστόσο, οι επιθέσεις δεν περιορίζονται μόνο στη Γαλλία. Ερευνητές ασφαλείας αποκάλυψαν ότι η συμμορία ransomware στοχεύει τόσο επιχειρησιακά όσο και κυβερνητικά δίκτυα σε όλο τον κόσμο.
Big-game hunter
H Mespinoza / Pysa είναι η τελευταία συμμορία ransοmware που ασχολείται με το “big game hunting” ή “human-operated ransomware”. Αυτό σημαίνει ότι οι συμμορίες στοχεύουν εταιρείες “υψηλού προφίλ”, παραβιάζουν τα δίκτυά τους και στη συνέχεια εγκαθιστούν τα ransomware «χεράτα» στα δίκτυά τους.
Άλλες συμμορίες ransomware που ειδικεύονται στο “big game hunting” είναι οι Ryuk, Revil (Sodinokibi), LockerGoga, RobbinHood, DoppelPaymer, Maze και πολλές άλλες.
