Pysa zsarolóvírus elemzése
A Prodaft kutatói a Pysa és Mespinoza ransomware egy mély, átfogó vizsgálattal engednek betekintést a csoport működésébe. Az adatokat a Pysa hackerek által használt rendszerek észlelésével és vizsgálatával gyűjtötte össze. A csoport egy manuális zsarolóvírus-üzemeltető, amely kizárólag nagy értékű célpontokra összpontosít, például kormányzati szervekre, oktatási és egészségügyi intézményekre támadtak.
A Prodaft 2020 szeptembere óta a Pysa csapat 747 áldozatának adatait szűrte ki, azonban a zsarolóvírus üzemeltetői 309 áldozat bizalmas adatait hozták nyilvánosságra a kiszivárogtatási oldalukon. Ezek alapján nagyjából ki lehet számítani a ransomware banda sikerének (váltságdíj/fizetés) arányát, ami 58% körüli.
A Prodaft szerint meglepő, hogy a Pysa csapata Amazon S3 felhő infrastruktúrát használt a titkosított fájljaik tárolására. A csoport Amazon-fiókja 2020.09.18-án jött létre és 31,47 TB-nyi titkosított adatot tartalmaz, amelyek az áldozatokhoz tartoznak. A rendszer adatfolyam-titkosítási és visszafejtési szolgáltatásokat végez az Amazon S3 felhőn, amikor valaki egy áldozathoz tartozó fájlt kér.
A váltságdíj-tárgyalások befejezése után sok áldozat a fájl törlésének igazolását kéri, jegyezte meg a Prodaft. A Pysa képes automatikusan létrehozni egy GIF fájlt, amely megmutatja az ellopott fájlok törlését. A váltságdíj kifizetése után a Pysa üzemeltetői létrehozzák a GIF fájlt és a visszafejtő szoftverrel együtt elküldik az áldozatoknak.