NCC Group的研究人員報告稱，PYSA和Lockbit是2021年11月威脅領(lǐng)域中勒索軟件攻擊有所增加，而PYSA(又名 Mespinoza)和Lockbit是最活躍的勒索軟件團(tuán)伙。與 10 月份相比，打擊政府組織的攻擊數(shù)量增加了 400%。

詳情

PYSA 勒索軟件組織(又名 Mespinoza)在11月增長了50%。PYSA 勒索軟件運營商專注于大型或高價值的金融、政府和醫(yī)療保健組織。

今年 3 月，F(xiàn)BI發(fā)出警報，警告針對美國和英國教育機構(gòu)的PYSA 勒索軟件攻擊有所增加 。CERT 法國網(wǎng)絡(luò)安全機構(gòu)就針對地方政府當(dāng)局網(wǎng)絡(luò)的新一波勒索軟件攻擊發(fā)出警告。攻擊者正在傳播新版本的 Mespinoza 勒索軟件(又名 Pysa 勒索軟件)。

據(jù)專家稱，第一次感染是在2019年末觀察到的，受害者報告說他們的文件被一種惡意軟件加密了。惡意代碼附加了擴展名，鎖定 到加密文件的文件名。

Mespinoza 勒索軟件隨著時間的推移不斷發(fā)展，12月，威脅領(lǐng)域出現(xiàn)了一個新版本。這個新版本使用了 . pysa 文件擴展名，它為這個勒索軟件命名。該變種最初用于針對大型企業(yè)，試圖最大限度地提高運營商的努力，但法國 CERT 發(fā)布的警報警告說，Pysa 勒索軟件針對的是法國組織，尤其是當(dāng)?shù)卣畽C構(gòu)。

CERT-FR 的警報指出 Pysa 勒索軟件代碼基于公共 Python 庫。根據(jù) CERT-FR 發(fā)布的報告，Pysa 勒索軟件背后的運營商對管理控制臺和 Active Directory 帳戶發(fā)起了暴力攻擊。

一旦入侵了目標(biāo)網(wǎng)絡(luò)，攻擊者就會試圖竊取公司的帳戶和密碼數(shù)據(jù)庫。Pysa 惡意軟件背后的操作員也使用了PowerShell  Empire 滲透測試工具的一個版本 ，他們能夠阻止防病毒產(chǎn)品。CERT-FR 處理的其中一個事件涉及新版本的 Pysa 勒索軟件，該軟件使用 . newversion 文件擴展名而不是 . pysa。

從 9 月開始，PYSA 勒索軟件運營商也開始針對 Linux 系統(tǒng)。

“NCC 集團(tuán)的戰(zhàn)略威脅情報團(tuán)隊已將 PYSA 和 Lockbit 確定為 11 月主導(dǎo)勒索軟件領(lǐng)域的威脅行為者。從今年 8 月開始，Conti 和 Lockbit 一直是最大的威脅群體，但在 11 月，PYSA，也被稱為 Mespinoza，以 50% 的增長超過了 Conti。與此同時，Conti 的流行率下降了 9.1%。” 閱讀NCC 集團(tuán)發(fā)布的報告。“PYSA 是一種惡意軟件，能夠竊取數(shù)據(jù)并加密用戶的關(guān)鍵文件和數(shù)據(jù)，通常針對大型或高價值的金融、政府和醫(yī)療保健組織。

據(jù)NCC Group 稱，北美和歐洲仍然是11月受攻擊最嚴(yán)重的的地區(qū)，分別有154和96名受害者，而在歐洲，大多數(shù)勒索軟件感染發(fā)生在英國和法國，意大利和德國 與 10 月份相比，11 月份勒索軟件攻擊的總數(shù)增加了1.9%。

工業(yè)板塊在11月份仍然是最受關(guān)注的板塊。與此同時，汽車、住房、娛樂和零售業(yè)務(wù)本月超過了技術(shù)，針對該行業(yè)的攻擊減少了38.1%。

專家們還分析了講俄語的 Everest 勒索軟件組織的活動，該組織被發(fā)現(xiàn)提供對受害者基礎(chǔ)設(shè)施的付費訪問。NCC Group 的戰(zhàn)略威脅情報團(tuán)隊還表示，他們正在密切監(jiān)視12 月披露的Log4Shell漏洞的利用情況。