FBI 警告：PYSA 勒索軟件攻擊美國和英國的教育機構

FBI已發出警報，警告說PYSA勒索軟件對美國和英國的教育機構的攻擊有所增加。

聯邦調查局（FBI）周二發出警告，警告說，針對美國和英國教育機構的PYSA勒索軟件攻擊有所增加。

2020年3月，法國CERT網絡安全機構警告說，新一輪的勒索軟件攻擊針對了當地政府機構的網絡。攻擊背后的操作人員正在傳播新版本的Mespinoza勒索軟件（又名Pysa勒索軟件）。

據專家稱，首次感染是在2019年末觀察到的，受害者報告說他們的文件已被一系列惡意軟件加密。惡意代碼附加了擴展名。鎖定到加密文件的文件名。

Mespinoza勒索軟件隨著時間的流逝而發展，并在12月出現在威脅領域。此新版本使用。pysa文件擴展名，此文件名為勒索軟件。

該變體最初用于大型企業，以最大程度地提高運營商的努力，但是法國CERT發出的警告說，Pysa勒索軟件針對的是法國組織，尤其是當地政府機構。

CERT-FR的警報指出，Pysa勒索軟件代碼基于公共Python庫。

根據CERT-FR發布的報告，Pysa勒索軟件背后的運營商對管理控制臺和Active Directory帳戶發起了暴力攻擊。

一旦入侵了目標網絡，攻擊者便試圖竊取該公司的帳戶和密碼數據庫。

Pysa勒索軟件背后的操作員還使用了PowerShell Empire滲透測試工具的一個版本 ，他們能夠停止防病毒產品。

CERT-FR處理的事件之一表明，使用了Pysa勒索軟件的新版本。newversion文件擴展名，而不是。pysa。

根據FBI的Flash警報，身份不明的威脅行為者瞄準了高等教育，K-12學校和神學院。攻擊者使用PYSA勒索軟件實施雙重勒索模型，以在加密文件之前從受害者那里竊取數據。

“FBI的報告表明，針對美國12個州和英國的教育機構的PYSA勒索軟件最近有所增加。PYSA，也稱為Mespinoza，是一種惡意軟件，能夠泄露數據并加密用戶的關鍵文件和系統中存儲的數據。” 讀取FBI的警報。“身份不明的網絡參與者專門針對高等教育，K-12學校和神學院。這些參與者使用PYSA從受害者那里竊取數據，然后再加密受害者的系統以用作誘騙贖金的手段。”

自2020年3月以來，PYSA勒索軟件參與了針對美國和外國政府實體，教育機構，私人公司以及醫療保健部門的攻擊。威脅參與者通過破壞遠程桌面協議（RDP）憑據和/或通過網絡釣魚活動獲得對受害者網絡的未授權訪問，從而部署了勒索軟件。攻擊者使用高級端口掃描程序和高級IP掃描程序進行網絡偵察，然后安裝開源的漏洞利用后工具，包括PowerShell Empire，Koadic和Mimikatz。攻擊者還能夠在提供勒索軟件之前停用受害者網絡上的防病毒軟件。

“然后，網絡參與者有時會使用免費的開放源代碼工具WinSCP5從受害者的網絡中竊取文件，并繼續對所有連接的Windows和/或Linux設備和數據進行加密，從而使關鍵文件，數據庫，虛擬機，備份和應用程序無法訪問給用戶。在先前的事件中，網絡參與者竊取了包含個人身份信息（PII），工資稅信息以及其他可用于勒索受害者支付贖金的數據的就業記錄。” 繼續警報。

在最近的攻擊中，威脅行動者將竊取的數據上傳到文件共享服務MEGA.NZ，在某些情況下，他們還直接在受害者的計算機上安裝了MEGA客戶端軟件。

FBI的警報包含這些攻擊的危害指標（IoC）。

在過去的一年中，FBI還發布了閃存警報和PIN警報，以警告組織有關 DoppelPaymer， Egregor和NetWalker勒索軟件的攻擊 。