网络安全公司“Cybereason”发布关于“PYSA”勒索软件的威胁分析报告

2021年9月27日，以色列网络安全企业Cybereason公司发布关于“PYSA”勒索软件的威胁分析报告称，“PYSA”勒索软件可能针对政府组织、教育机构、医疗组织等重要行业目标进行攻击。 “PYSA”勒索软件是“Mespinoza”勒索软件的新变种，最早出现于2019年10月，攻击目标多为政府机构、私营公司、教育机构、医疗保健组织等，但其自身不具有传播能力。“PYSA”勒索软件背后的运营者通过用户泄露的凭据或通过网络钓鱼电子邮件获得对目标系统的初始访问权限，然后使用公开或开源的工具，如PowerShell Empire、Koadic、PsExec和Mimikatz等进行凭据窃取、提升权限、横向移动等操作。攻击者还会利用PowerShell脚本来停止或删除系统安全机制并删除系统还原快照和副本，使受害者无法自行恢复被加密的数据，最后部署“PYSA”勒索软件。该勒索软件使用C++语言编写，并使用开源CryptoPP C++库进行数据加密。该勒索软件通过结合使用高级加密标准密码块链 (AES-CBC) 和 Rivest、Shamir、Adleman (RSA)加密算法来加密数据，被加密的文件被添加“.pysa”扩展名，极大程度的提高了加密性能和安全性。攻击者通常采用“双重勒索”的方式威胁受害者，如不支付赎金则会将受害者的被盗数据公布。