Peneliti Berbagi Analisis Mendalam Grup Ransomware PYSA

Peneliti Berbagi Analisis Mendalam Grup Ransomware PYSA

Analisis selama 18 bulan dari operasi ransomware PYSA telah mengungkapkan bahwa kartel kejahatan dunia maya mengikuti siklus pengembangan perangkat lunak lima tahap mulai Agustus 2020, dengan pembuat malware memprioritaskan fitur untuk meningkatkan efisiensi alur kerjanya.

Ini termasuk alat yang mudah digunakan seperti mesin pencari teks lengkap untuk memfasilitasi ekstraksi metadata dan memungkinkan pelaku ancaman untuk menemukan dan mengakses informasi korban dengan cepat.

“Grup ini dikenal teliti meneliti goal bernilai tinggi sebelum meluncurkan serangannya, membahayakan sistem perusahaan, dan memaksa organisasi membayar tebusan besar untuk memulihkan information mereka,” perusahaan keamanan siber Swiss PRODAFT dikatakan dalam laporan lengkap yang diterbitkan minggu lalu.

PYSA, kependekan dari “Lindungi Sistem Anda, Amigo” dan penerus ransomware Mespinoza, pertama kali diamati pada Desember 2019 dan telah muncul sebagai jenis ransomware paling umum ketiga yang terdeteksi selama kuartal keempat tahun 2021.

Sejak September 2020, komplotan penjahat dunia maya itu diyakini telah membobol informasi sensitif milik sebanyak 747 korban hingga servernya dimatikan awal Januari ini.

Keamanan cyber

Sebagian besar korbannya berada di AS dan Eropa, dengan kelompok yang terutama menyerang sektor pemerintah, perawatan kesehatan, dan pendidikan. “AS adalah negara yang paling terkena dampak, menyumbang 59,2% dari semua peristiwa PYSA yang dilaporkan, diikuti oleh Inggris sebesar 13,1%,” Intel 471 dicatat dalam analisis serangan ransomware yang direkam dari Oktober hingga Desember 2021.

PYSA, seperti keluarga ransomware lainnya, diketahui mengikuti pendekatan “perburuan besar” berupa pemerasan ganda, yang melibatkan publikasi informasi yang dicuri jika korban menolak untuk memenuhi tuntutan kelompok tersebut.

Setiap file yang memenuhi syarat dienkripsi dan diberi ekstensi “.pysa”, decoding yang memerlukan kunci pribadi RSA yang hanya dapat diperoleh setelah membayar uang tebusan. Hampir 58% korban PYSA dikatakan telah melakukan pembayaran digital.

PRODAFT, yang dapat menemukan folder .git yang tersedia untuk umum yang dikelola oleh operator PYSA, mengidentifikasi salah satu penulis proyek sebagai “dodo@mail.pcc,” aktor ancaman yang diyakini berlokasi di negara yang menerapkan waktu musim panas berdasarkan riwayat komit.

Setidaknya 11 akun, yang sebagian besar dibuat pada 8 Januari 2021, dikatakan bertanggung jawab atas keseluruhan operasi, ungkap penyelidikan tersebut. Konon, empat akun ini — bernama t1, t3, t4, dan t5 — menyumbang lebih dari 90% aktivitas di panel manajemen grup.

Kesalahan keamanan operasional lainnya yang dibuat oleh anggota kelompok juga memungkinkan untuk mengidentifikasi layanan tersembunyi yang berjalan di jaringan anonimitas TOR — penyedia internet hosting (Snel.com BV) yang berlokasi di Belanda — menawarkan sekilas taktik aktor tersebut.

Infrastruktur PYSA juga terdiri dari kontainer yang di-docker, termasuk server kebocoran publik, database, dan server manajemen, serta cloud Amazon S3 untuk menyimpan file terenkripsi, yang berjumlah 31,47 TB.

Keamanan cyber

Juga digunakan adalah panel manajemen kebocoran khusus untuk mencari dokumen rahasia dalam file yang diambil dari jaringan inside korban sebelum enkripsi. Selain menggunakan sistem kontrol versi Git untuk mengelola proses pengembangan, panel itu sendiri dikodekan dalam PHP 7.3.12 menggunakan kerangka Laravel.

Terlebih lagi, panel manajemen memperlihatkan berbagai titik akhir API yang memungkinkan sistem untuk membuat daftar file, mengunduh file, dan menganalisis file untuk pencarian teks lengkap, yang dirancang untuk mengkategorikan informasi korban yang dicuri ke dalam kategori luas untuk pengambilan yang mudah.

“Grup ini didukung oleh pengembang yang kompeten yang menerapkan paradigma operasional fashionable pada siklus pengembangan grup,” kata peneliti. “Ini menunjukkan lingkungan profesional dengan pembagian tanggung jawab yang terorganisir dengan baik, daripada jaringan longgar aktor ancaman semi-otonom.”

Jika ada, temuan ini merupakan indikator lain bahwa geng ransomware seperti PYSA dan Conti beroperasi dan terorganisir Suka perusahaan perangkat lunak yang sahbahkan termasuk departemen SDM untuk merekrut karyawan baru dan penghargaan “karyawan bulan ini” untuk mengatasi masalah yang menantang.

Pengungkapan itu juga datang sebagai laporan dari perusahaan keamanan siber Sophos ditemukan bahwa dua atau lebih kelompok pelaku ancaman menghabiskan setidaknya lima bulan dalam jaringan badan pemerintah regional AS yang tidak disebutkan namanya sebelum menyebarkan muatan ransomware LockBit pada awal tahun.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts