研究者がPYSAランサムウェアグループの詳細な分析を共有

PYSAランサムウェア操作の18か月にわたる分析により、サイバー犯罪カルテルは2020年8月から5段階のソフトウェア開発サイクルに従い、マルウェア作成者はワークフローの効率を改善する機能を優先していることが明らかになりました。
これには、メタデータの抽出を容易にし、攻撃者が被害者の情報をすばやく見つけてアクセスできるようにする、全文検索エンジンなどのユーザーフレンドリーなツールが含まれていました。
PYSAは、他のランサムウェアファミリーと同様に、被害者がグループの要求に応じることを拒否した場合に盗まれた情報を公開することを含む、二重恐喝の「大物猟」アプローチに従うことが知られています。
PYSAオペレーターによって管理されている公開されている.gitフォルダーを見つけることができたPRODAFTは、プロジェクトの作成者の1人を「dodo@mail.pcc」と特定しました。
PYSAのインフラストラクチャは、パブリックリークサーバー、データベース、管理サーバーなどのドッキングされたコンテナーと、31.47TBの暗号化ファイルを保存するためのAmazonS3クラウドで構成されています。
また、暗号化の前に被害者の内部ネットワークから盗み出されたファイル内の機密文書を検索するためのカスタムリーク管理パネルも使用されます。