網絡安全公司“Cybereason”發布關于“PYSA”勒索軟件的威脅分析報告

2021年9月27日，以色列網絡安全企業Cybereason公司發布關于“PYSA”勒索軟件的威脅分析報告稱，“PYSA”勒索軟件可能針對政府組織、教育機構、醫療組織等重要行業目標進行攻擊。 “PYSA”勒索軟件是“Mespinoza”勒索軟件的新變種，最早出現于2019年10月，攻擊目標多為政府機構、私營公司、教育機構、醫療保健組織等，但其自身不具有傳播能力。“PYSA”勒索軟件背后的運營者通過用戶泄露的憑據或通過網絡釣魚電子郵件獲得對目標系統的初始訪問權限，然后使用公開或開源的工具，如PowerShell Empire、Koadic、PsExec和Mimikatz等進行憑據竊取、提升權限、橫向移動等操作。攻擊者還會利用PowerShell腳本來停止或刪除系統安全機制并刪除系統還原快照和副本，使受害者無法自行恢復被加密的數據，最后部署“PYSA”勒索軟件。該勒索軟件使用C++語言編寫，并使用開源CryptoPP C++庫進行數據加密。該勒索軟件通過結合使用高級加密標準密碼塊鏈 (AES-CBC) 和 Rivest、Shamir、Adleman (RSA)加密算法來加密數據，被加密的文件被添加“.pysa”擴展名，極大程度的提高了加密性能和安全性。攻擊者通常采用“雙重勒索”的方式威脅受害者，如不支付贖金則會將受害者的被盜數據公布。