NCC Group的研究人員報(bào)告稱，PYSA和Lockbit是2021年11月威脅領(lǐng)域中勒索軟件攻擊有所增加，而PYSA(又名 Mespinoza)和Lockbit是最活躍的勒索軟件團(tuán)伙。與 10 月份相比，打擊政府組織的攻擊數(shù)量增加了 400%。

詳情

PYSA 勒索軟件組織(又名 Mespinoza)在11月增長了50%。PYSA 勒索軟件運(yùn)營商專注于大型或高價(jià)值的金融、政府和醫(yī)療保健組織。

今年 3 月，F(xiàn)BI發(fā)出警報(bào)，警告針對(duì)美國和英國教育機(jī)構(gòu)的PYSA 勒索軟件攻擊有所增加 。CERT 法國網(wǎng)絡(luò)安全機(jī)構(gòu)就針對(duì)地方政府當(dāng)局網(wǎng)絡(luò)的新一波勒索軟件攻擊發(fā)出警告。攻擊者正在傳播新版本的 Mespinoza 勒索軟件(又名 Pysa 勒索軟件)。

據(jù)專家稱，第一次感染是在2019年末觀察到的，受害者報(bào)告說他們的文件被一種惡意軟件加密了。惡意代碼附加了擴(kuò)展名，鎖定 到加密文件的文件名。

Mespinoza 勒索軟件隨著時(shí)間的推移不斷發(fā)展，12月，威脅領(lǐng)域出現(xiàn)了一個(gè)新版本。這個(gè)新版本使用了 . pysa 文件擴(kuò)展名，它為這個(gè)勒索軟件命名。該變種最初用于針對(duì)大型企業(yè)，試圖最大限度地提高運(yùn)營商的努力，但法國 CERT 發(fā)布的警報(bào)警告說，Pysa 勒索軟件針對(duì)的是法國組織，尤其是當(dāng)?shù)卣畽C(jī)構(gòu)。

CERT-FR 的警報(bào)指出 Pysa 勒索軟件代碼基于公共 Python 庫。根據(jù) CERT-FR 發(fā)布的報(bào)告，Pysa 勒索軟件背后的運(yùn)營商對(duì)管理控制臺(tái)和 Active Directory 帳戶發(fā)起了暴力攻擊。

一旦入侵了目標(biāo)網(wǎng)絡(luò)，攻擊者就會(huì)試圖竊取公司的帳戶和密碼數(shù)據(jù)庫。Pysa 惡意軟件背后的操作員也使用了PowerShell  Empire 滲透測試工具的一個(gè)版本 ，他們能夠阻止防病毒產(chǎn)品。CERT-FR 處理的其中一個(gè)事件涉及新版本的 Pysa 勒索軟件，該軟件使用 . newversion 文件擴(kuò)展名而不是 . pysa。

從 9 月開始，PYSA 勒索軟件運(yùn)營商也開始針對(duì) Linux 系統(tǒng)。

“NCC 集團(tuán)的戰(zhàn)略威脅情報(bào)團(tuán)隊(duì)已將 PYSA 和 Lockbit 確定為 11 月主導(dǎo)勒索軟件領(lǐng)域的威脅行為者。從今年 8 月開始，Conti 和 Lockbit 一直是最大的威脅群體，但在 11 月，PYSA，也被稱為 Mespinoza，以 50% 的增長超過了 Conti。與此同時(shí)，Conti 的流行率下降了 9.1%。” 閱讀NCC 集團(tuán)發(fā)布的報(bào)告。“PYSA 是一種惡意軟件，能夠竊取數(shù)據(jù)并加密用戶的關(guān)鍵文件和數(shù)據(jù)，通常針對(duì)大型或高價(jià)值的金融、政府和醫(yī)療保健組織。

據(jù)NCC Group 稱，北美和歐洲仍然是11月受攻擊最嚴(yán)重的的地區(qū)，分別有154和96名受害者，而在歐洲，大多數(shù)勒索軟件感染發(fā)生在英國和法國，意大利和德國 與 10 月份相比，11 月份勒索軟件攻擊的總數(shù)增加了1.9%。

工業(yè)板塊在11月份仍然是最受關(guān)注的板塊。與此同時(shí)，汽車、住房、娛樂和零售業(yè)務(wù)本月超過了技術(shù)，針對(duì)該行業(yè)的攻擊減少了38.1%。

專家們還分析了講俄語的 Everest 勒索軟件組織的活動(dòng)，該組織被發(fā)現(xiàn)提供對(duì)受害者基礎(chǔ)設(shè)施的付費(fèi)訪問。NCC Group 的戰(zhàn)略威脅情報(bào)團(tuán)隊(duì)還表示，他們正在密切監(jiān)視12 月披露的Log4Shell漏洞的利用情況。