FBI 警告:PYSA 勒索软件攻击美国和英国的教育机构

Andrew 2021-03-18
专栏 发布于 2021-03-18 10:03:25 阅读 243 评论 0

FBI已发出警报,警告说PYSA勒索软件对美国和英国的教育机构的攻击有所增加。

联邦调查局(FBI)周二发出警告,警告说,针对美国和英国教育机构的PYSA勒索软件攻击有所增加。

2020年3月,法国CERT网络安全机构警告说,新一轮的勒索软件攻击针对了当地政府机构的网络。攻击背后的操作人员正在传播新版本的Mespinoza勒索软件(又名Pysa勒索软件)。

据专家称,首次感染是在2019年末观察到的,受害者报告说他们的文件已被一系列恶意软件加密。恶意代码附加了扩展名。锁定到加密文件的文件名。

FBI警告说,PYSA勒索软件攻击了美国和英国的教育机构

Mespinoza勒索软件随着时间的流逝而发展,并在12月出现在威胁领域。此新版本使用。pysa文件扩展名,此文件名为勒索软件。

该变体最初用于大型企业,以最大程度地提高运营商的努力,但是法国CERT发出的警告说,Pysa勒索软件针对的是法国组织,尤其是当地政府机构。

CERT-FR的警报指出,Pysa勒索软件代码基于公共Python库。

根据CERT-FR发布的报告,Pysa勒索软件背后的运营商对管理控制台和Active Directory帐户发起了暴力攻击。

一旦入侵了目标网络,攻击者便试图窃取该公司的帐户和密码数据库。

Pysa勒索软件背后的操作员还使用了PowerShell Empire渗透测试工具的一个版本 ,他们能够停止防病毒产品。

CERT-FR处理的事件之一表明,使用了Pysa勒索软件的新版本。newversion文件扩展名,而不是。pysa

根据FBI的Flash警报,身份不明的威胁行为者瞄准了高等教育,K-12学校和神学院。攻击者使用PYSA勒索软件实施双重勒索模型,以在加密文件之前从受害者那里窃取数据。

“FBI的报告表明,针对美国12个州和英国的教育机构的PYSA勒索软件最近有所增加。PYSA,也称为Mespinoza,是一种恶意软件,能够泄露数据并加密用户的关键文件和系统中存储的数据。” 读取FBI的警报。“身份不明的网络参与者专门针对高等教育,K-12学校和神学院。这些参与者使用PYSA从受害者那里窃取数据,然后再加密受害者的系统以用作诱骗赎金的手段。”

自2020年3月以来,PYSA勒索软件参与了针对美国和外国政府实体,教育机构,私人公司以及医疗保健部门的攻击。威胁参与者通过破坏远程桌面协议(RDP)凭据和/或通过网络钓鱼活动获得对受害者网络的未授权访问,从而部署了勒索软件。攻击者使用高级端口扫描程序和高级IP扫描程序进行网络侦察,然后安装开源的漏洞利用后工具,包括PowerShell Empire,Koadic和Mimikatz。攻击者还能够在提供勒索软件之前停用受害者网络上的防病毒软件。

“然后,网络参与者有时会使用免费的开放源代码工具WinSCP5从受害者的网络中窃取文件,并继续对所有连接的Windows和/或Linux设备和数据进行加密,从而使关键文件,数据库,虚拟机,备份和应用程序无法访问给用户。在先前的事件中,网络参与者窃取了包含个人身份信息(PII),工资税信息以及其他可用于勒索受害者支付赎金的数据的就业记录。” 继续警报。

在最近的攻击中,威胁行动者将窃取的数据上传到文件共享服务MEGA.NZ,在某些情况下,他们还直接在受害者的计算机上安装了MEGA客户端软件。

FBI的警报包含这些攻击的危害指标(IoC)。

在过去的一年中,FBI还发布了闪存警报和PIN警报,以警告组织有关 DoppelPaymer, Egregor和NetWalker勒索软件的攻击 。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!