研究人员分享PYSA勒索软件集团的深入分析

一项为期18个月的PYSA勒索软件操作分析显示，网络犯罪卡特尔从2020年8月开始，遵循了五个阶段的软件开发周期，恶意软件作者优先考虑功能，以提高其工作流程的效率。

这包括一个用户友好的工具，如全文搜索引擎，以便于提取元数据，并使威胁行为者能够快速找到和访问受害者信息。

瑞士网络安全公司PRODAFT在上周发布的一份详尽报告中表示：“众所周知，该组织在发动攻击之前会仔细研究高价值目标，破坏企业系统，并迫使组织支付巨额赎金以恢复其数据”。

PYSA是“保护你的系统，朋友”的缩写，是Mespinoza勒索软件的继任者，于2019年12月首次被发现，已成为2021第四季度检测到的第三大勒索软件毒株。

据信，自2020年9月以来，这一网络犯罪团伙已经过滤了多达747名受害者的敏感信息，直到今年1月初其服务器被关闭。

大多数受害者位于美国和欧洲，该组织主要打击政府、医疗和教育部门。Intel 471在2021 10月至12月记录的勒索软件攻击分析中指出：“美国是受影响最大的国家，占所有PYSA事件报告的59.2%，其次是英国，占13.1%”。

众所周知，PYSA和其他勒索软件家族一样，遵循双重勒索的“大狩猎”方式，即如果受害者拒绝遵守该组织的要求，就公布被盗信息。

每个符合条件的文件都经过加密，并有一个“.pysa”扩展名，解码时需要RSA私钥，只有在支付赎金后才能获得该私钥。据说，近58%的PYSA受害者进行了数字支付，以恢复对加密文件的访问。

PRODAFT，它能够找到一个公开可用的。由PYSA运营商管理的git文件夹，将项目的一位作者标识为“dodo@mail.pcc，“据信，一名威胁行为人所在的国家根据犯罪历史遵守夏令时。

调查显示，至少有11个账户负责整个运营，其中大部分账户是在2021 1月8日创建的。也就是说，其中有四个账户，命名为t1、t3、t4和t5，占集团管理层活动的90%以上。

集团成员犯下的其他运营安全错误也使得识别TOR匿名网络上运行的隐藏服务成为可能，位于荷兰的托管提供商（Snel.com B.V.），提供演员战术的一瞥。

PYSA的基础设施还包括停靠容器，包括公共泄漏服务器、数据库和管理服务器，以及用于存储加密文件的Amazon S3云，总计31.47TB。

此外，还有一个自定义泄漏管理面板，用于在加密之前从受害者内部网络中过滤出的文件中搜索机密文件。除了使用Git版本控制系统来管理开发过程之外，面板本身也是使用Laravel框架在PHP 7.3.12中编码的。

此外，管理面板还公开了各种API端点，允许系统列出和下载文件，自动生成GIF，并分析文件进行全文搜索，目的是将被盗受害者信息分类为大类，以便于检索。

这位研究人员说：“该团队得到了有能力的开发人员的支持，他们将现代运营模式应用于团队的开发周期”。“这意味着一个有组织的职责分工的专业环境，而不是一个由半自主的威胁行为者组成的松散网络”。

如果有什么区别的话，这些发现是另一个指标，表明像PYSA和Conti这样的勒索团伙的运作和结构都像合法的软件公司，甚至包括一个招聘新员工的人力资源部门，以及设立一个“月度最佳员工”奖来解决具有挑战性的问题。

此外，网络安全公司Sophos的一份报告发现，在今年年初部署LockBit勒索软件有效载荷之前，两个或两个以上的威胁行为者团体在美国一个未具名的地区政府机构的网络内至少呆了五个月。