Eine 18-monatige Analyse der PYSA-Ransomware-Operation hat ergeben, dass das Cyberkriminelle Kartell ab August 2020 einen fünfstufigen Softwareentwicklungszyklus verfolgte, wobei die Malware-Autoren Funktionen zur Verbesserung der Effizienz ihrer Arbeitsabläufe priorisierten.
Dazu gehörte ein benutzerfreundliches Tool wie eine Volltextsuchmaschine, um die Extraktion von Metadaten zu erleichtern und es den Bedrohungsakteuren zu ermöglichen, Opferinformationen schnell zu finden und darauf zuzugreifen.
„Die Gruppe ist dafür bekannt, dass sie vor ihren Angriffen sorgfältig hochwertige Ziele recherchiert, um Unternehmenssysteme zu kompromittieren und Organisationen zu zwingen, hohe Lösegelder für die Wiederherstellung ihrer Daten zu zahlen“, so das Schweizer Cybersecurity-Unternehmen PRODAFT in einem ausführlichen Bericht, der letzte Woche veröffentlicht wurde.
PYSA, die Abkürzung für „Protect Your System, Amigo“ und ein Nachfolger der Mespinoza-Ransomware, wurde zum ersten Mal im Dezember 2019 beobachtet und hat sich im vierten Quartal 2021 zum dritthäufigsten Ransomware-Stamm entwickelt.
Es wird vermutet, dass die Cyberkriminellen seit September 2020 die sensiblen Daten von 747 Opfern erbeutet haben, bis ihre Server Anfang Januar dieses Jahres vom Netz genommen wurden.
Die meisten Opfer befinden sich in den USA und Europa, wobei die Gruppe vor allem Regierungen, das Gesundheitswesen und den Bildungssektor angreift. „Die USA waren mit 59,2 % aller gemeldeten PYSA-Ereignisse das am stärksten betroffene Land, gefolgt von Großbritannien mit 13,1 %“, so Intel 471 in einer Analyse der Ransomware-Angriffe von Oktober bis Dezember 2021.
PYSA ist wie andere Ransomware-Familien dafür bekannt, dass sie den Ansatz der „Großwildjagd“ mit doppelter Erpressung verfolgen, bei dem die gestohlenen Informationen veröffentlicht werden, wenn sich das Opfer weigert, die Forderungen der Gruppe zu erfüllen.
Jede in Frage kommende Datei wird verschlüsselt und erhält die Endung „.pysa“, für deren Entschlüsselung der private RSA-Schlüssel benötigt wird, den man nur nach Zahlung des Lösegelds erhält. Fast 58% der PYSA-Opfer sollen die digitalen Zahlungen geleistet haben, um wieder Zugriff auf die verschlüsselten Dokumente zu erhalten.
PRODAFT konnte einen öffentlich zugänglichen .git-Ordner ausfindig machen, der von den PYSA-Betreibern verwaltet wurde, und identifizierte einen der Autoren des Projekts als „dodo@mail.pcc“, einen Bedrohungsakteur, der sich vermutlich in einem Land befindet, das die Sommerzeit einhält.
Mindestens 11 Konten, von denen die meisten am 8. Januar 2021 erstellt wurden, sollen für die gesamte Operation verantwortlich sein, wie die Untersuchung ergab. Vier dieser Konten – t1, t3, t4 und t5 – sind für mehr als 90 % der Aktivitäten im Verwaltungsbereich der Gruppe verantwortlich.
Andere operative Sicherheitsfehler, die von den Mitgliedern der Gruppe begangen wurden, ermöglichten es außerdem, einen versteckten Dienst im TOR-Anonymitätsnetzwerk zu identifizieren – einen Hosting-Anbieter (Snel.com B.V.) mit Sitz in den Niederlanden, der einen Einblick in die Taktiken der Akteure bietet.
Die Infrastruktur von PYSA besteht auch aus Docker-Containern, darunter öffentliche Leak-Server, Datenbank- und Management-Server sowie eine Amazon S3-Cloud, in der die verschlüsselten Dateien gespeichert werden, die insgesamt 31,47 TB groß sind.
Außerdem wird ein benutzerdefiniertes Leak Management Panel eingesetzt, um vertrauliche Dokumente in den Dateien zu suchen, die vor der Verschlüsselung aus den internen Netzwerken der Opfer exfiltriert wurden. Neben der Verwendung des Versionskontrollsystems Git zur Verwaltung der Entwicklungsprozesse wurde das Panel selbst in PHP 7.3.12 unter Verwendung des Laravel-Frameworks programmiert.
Darüber hinaus stellt das Verwaltungspanel eine Reihe von API-Endpunkten zur Verfügung, die es dem System ermöglichen, Dateien aufzulisten und herunterzuladen, automatisch GIFs zu generieren und die Dateien für eine Volltextsuche zu analysieren, mit der die gestohlenen Opferinformationen in breite Kategorien eingeteilt werden können, um sie leichter wiederzufinden.
„Die Gruppe wird von kompetenten Entwicklern unterstützt, die moderne operative Paradigmen im Entwicklungszyklus der Gruppe anwenden“, so der Forscher. „Das deutet auf ein professionelles Umfeld mit gut organisierter Aufgabenteilung hin und nicht auf ein loses Netzwerk halbautonomer Bedrohungsakteure.“
Wenn überhaupt, sind die Ergebnisse ein weiteres Indiz dafür, dass Ransomware-Banden wie PYSA und Conti wie seriöse Softwareunternehmen agieren und strukturiert sind. Sie verfügen sogar über eine Personalabteilung, um neue Mitarbeiter zu rekrutieren, und vergeben eine Auszeichnung als „Mitarbeiter des Monats“ für die Bewältigung schwieriger Probleme.
Die Enthüllung erfolgt auch, nachdem ein Bericht des Cybersecurity-Unternehmens Sophos festgestellt hat, dass zwei oder mehr Gruppen von Bedrohungsakteuren mindestens fünf Monate im Netzwerk einer ungenannten regionalen US-Regierungsbehörde verbracht haben, bevor sie Anfang des Jahres eine LockBit Ransomware-Nutzlast in Umlauf brachten.