Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Кибервымогателей PYSA разобрали по косточкам (http://txgate.io:443/showthread.php?t=12656)

Artifact 01-30-2025 06:09 PM

Опубликован подробный анализ деятельности кибервымогательской группировке PYSA.
https://www.securitylab.ru/upload/ib...fa5110cb61.jpg
Специалисты швейцарской ИБ-компании PRODAFT опубликовали результаты 18-месячного исследования, посвященного кибервымогательской группировке PYSA.
PYSA (аббревиатура выражения «Protect Your System, Amigo» – «Защищай свою систему, друг») является наследником вымогательского ПО Mespinoza. Вредонос был впервые обнаружен в декабре 2019 года и в последнем квартале 2021 года являлся четвертым в списке наиболее часто использующихся программ-вымогателей.
С сентября 2020 года группировка похитила конфиденциальную информацию у 747 жертв. В январе 2022 года ее серверы были отключены.
По данным Intel 471, большинство жертв находится в США (59,2% от всех атак PYSA) и Великобритании (13,1%). Чаще всего PYSA атаковала правительственные, образовательные и здравоохранительные организации.
Подобно другим кибервымогательским группировкам, PYSA использовала тактику двойного вымогательства – публиковала похищенные файлы жертвы, если она отказывалась платить выкуп.
Вредонос шифровал файлы, добавляя расширение .pysa. Для их расшифровки требовался закрытый RSA-ключ, получить который можно было, только заплатив выкуп вымогателям. Почти 58% жертв, заплативших требуемую сумму, смогли восстановить доступ к своим файлам.
Специалистам PRODAFT удалось обнаружить публично доступную папку .git, управляемую операторами PYSA, и выяснить логин одного из авторов проекта – mailto:[email protected] .
В операции PYSA использовалось как минимум 11 учетных записей, большинство из которых были созданы 8 января 2021 года. 90% всей активности в панели управления вредоносом приходилось на четыре учетные записи – t1, t3, t4 и t5.
В инфраструктуру PYSA также входили контейнеры docker, включая публичные серверы утечек, базы данных и управляющие серверы, а также облако Amazon S3 для хранения зашифрованных файлов.
«Группировка поддерживается компетентными разработчиками, применяющими к циклу разработки современные операционные парадигмы. Это указывает на профессиональную среду с хорошо организованным распределением обязанностей, а не плохо связанную сеть полуавтономных хакеров», – сообщили исследователи.


All times are GMT. The time now is 08:12 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.