Кибервымогателей PYSA разобрали по косточкам

Специалисты швейцарской ИБ-компании PRODAFT опубликовали результаты 18-месячного исследования, посвященного кибервымогательской группировке PYSA.

PYSA (аббревиатура выражения «Protect Your System, Amigo» – «Защищай свою систему, друг») является наследником вымогательского ПО Mespinoza. Вредонос был впервые обнаружен в декабре 2019 года и в последнем квартале 2021 года являлся четвертым в списке наиболее часто использующихся программ-вымогателей.

С сентября 2020 года группировка похитила конфиденциальную информацию у 747 жертв. В январе 2022 года ее серверы были отключены.

По данным Intel 471, большинство жертв находится в США (59,2% от всех атак PYSA) и Великобритании (13,1%). Чаще всего PYSA атаковала правительственные, образовательные и здравоохранительные организации.

Подобно другим кибервымогательским группировкам, PYSA использовала тактику двойного вымогательства – публиковала похищенные файлы жертвы, если она отказывалась платить выкуп.

Вредонос шифровал файлы, добавляя расширение .pysa. Для их расшифровки требовался закрытый RSA-ключ, получить который можно было, только заплатив выкуп вымогателям. Почти 58% жертв, заплативших требуемую сумму, смогли восстановить доступ к своим файлам.

Специалистам PRODAFT удалось обнаружить публично доступную папку .git, управляемую операторами PYSA, и выяснить логин одного из авторов проекта – dodo@mail.pcc .

В операции PYSA использовалось как минимум 11 учетных записей, большинство из которых были созданы 8 января 2021 года. 90% всей активности в панели управления вредоносом приходилось на четыре учетные записи – t1, t3, t4 и t5.

В инфраструктуру PYSA также входили контейнеры docker, включая публичные серверы утечек, базы данных и управляющие серверы, а также облако Amazon S3 для хранения зашифрованных файлов.

«Группировка поддерживается компетентными разработчиками, применяющими к циклу разработки современные операционные парадигмы. Это указывает на профессиональную среду с хорошо организованным распределением обязанностей, а не плохо связанную сеть полуавтономных хакеров», – сообщили исследователи.