PYSA Ransomware plündert Bildungssektor, Feds warnen

Cyber Security News

Eine große Anzahl von Angriffen auf Hochschulen, K-12 und Seminare im März hat das FBI dazu veranlasst, eine spezielle Warnung herauszugeben.

Das FBI hat eine Warnung über einen Anstieg von Cyberangriffen auf den Bildungssektor herausgegeben, bei denen die Ransomware PYSA eingesetzt wird.

In einer “Flash”-Warnung an die Cybersecurity-Community, die am Dienstag veröffentlicht wurde, sagte das FBI, dass PYSA allein im März bei Angriffen auf Schulen in 12 US-Bundesstaaten und im Vereinigten Königreich gesehen wurde. Die Angriffe haben ein weites Netz geworfen, schlagen höhere Bildung, K-12 Schulen und Seminare, die Warnung gewarnt.

Darüber hinaus haben die unbekannten Cyber-Angreifer eine Handvoll Regierungsstellen, Gesundheitswesen und private Unternehmen ins Visier genommen, sagte das FBI.

PYSA (alias Mespinoza) ist wie die meiste Ransomware in der Lage, Daten zu exfiltrieren und die kritischen Dateien und Daten der Benutzer zu verschlüsseln, die auf deren Systemen gespeichert sind. Das FBI stellte fest, dass sich die Ransomware auf die übliche Art und Weise Zugang verschafft: Entweder durch Brute-Forcing von Remote Desktop Protocol (RDP)-Anmeldeinformationen und/oder durch Phishing-E-Mails.

Angriffe mit breiter Nutzung von Open-Source, legalen Tools

Die FBI-Forscher haben auch beobachtet, dass die Angreifer Advanced Port Scanner und Advanced IP Scanner für die Netzwerkerkundung verwenden. Dies sind Open-Source-Tools, mit denen Benutzer offene Netzwerkcomputer finden und die Versionen von Programmen auf diesen Ports ermitteln können. Von dort aus installieren die Angreifer verschiedene Open-Source-Tools für laterale Bewegungen.

Laut der Warnung gehören dazu Mimikatz, ein Post-Exploitation-Toolkit, das Passwörter aus dem Speicher zieht, sowie Hashes und andere Authentifizierungsdaten; und Koadic, ein Penetrations-Toolkit, das mehrere Optionen für die Bereitstellung von Nutzlasten und die Erstellung von Implantaten hat.

Ein weiteres Open-Source-Toolkit für Lateral Movement, das bei den Angriffen verwendet wurde, ist PowerShell Empire, das die Möglichkeit bietet, PowerShell-Agenten auszuführen, ohne die Datei powershell.exe zu benötigen. Es bietet außerdem Module, die von Keyloggern bis hin zu Mimikatz reichen, und verfügt über eine anpassungsfähige Kommunikation, um eine Erkennung im Netzwerk zu vermeiden.

Die Cyber-Akteure führen dann Befehle aus, um Antiviren-Funktionen im Netzwerk des Opfers zu deaktivieren und Dateien zu exfiltrieren, warnte das FBI, manchmal unter Verwendung des kostenlosen Open-Source-Tools WinSCP. WinSCP ermöglicht eine sichere Dateiübertragung zwischen lokalen und entfernten Computersystemen.

Die mit der Kampagne verbundenen E-Mail-Adressen sind allesamt Tor-Domänen, aber die Angreifer haben gestohlene Daten auf Mega.nz, einen Cloud-Speicher- und File-Sharing-Dienst, hochgeladen, indem sie die Daten über die Mega-Website hochgeladen haben oder indem sie die Mega-Client-Anwendung direkt auf dem Computer eines Opfers installiert haben, so das FBI.

Nach all dem setzt PYSA dann die eigentliche Ransomware ein und hängt verschlüsselte Dateien mit der Endung .pysa an.

PYSA Double-Extortion Ransomware-Technik

Sie ist in der Lage, “alle angeschlossenen Windows- und/oder Linux-Geräte und -Daten zu verschlüsseln, wodurch kritische Dateien, Datenbanken, virtuelle Maschinen, Backups und Anwendungen für Benutzer unzugänglich werden”, heißt es in der Flash-Warnung. “Bei früheren Vorfällen haben Cyber-Akteure Arbeitsunterlagen exfiltriert, die personenbezogene Daten, Lohnsteuerinformationen und andere Daten enthielten, mit denen die Opfer zur Zahlung eines Lösegelds erpresst werden konnten.

Um die Opfer zur Zahlung zu bewegen, warnt die Ransomware, dass die gestohlenen Informationen im Dark Web hochgeladen und zu Geld gemacht werden.

“Beobachtete Instanzen der Malware zeigten einen Dateinamen von svchost.exe, was höchstwahrscheinlich ein Versuch der Cyber-Akteure ist, die Opfer auszutricksen und die Ransomware als generischen Windows-Host-Prozessnamen zu tarnen”, so die Warnung. “In einigen Fällen entfernten die Akteure die bösartigen Dateien nach der Bereitstellung, was dazu führte, dass die Opfer keine bösartigen Dateien auf ihren Systemen fanden.

Ransomware ist weiterhin eine eskalierende Geißel. So wurden letzte Woche Hacker entdeckt, die anfällige Microsoft Exchange-Server ausnutzten und eine neue Ransomware-Familie namens DearCry installierten.

Und der Ransominer für die Kryptowährung Monero Miner, der sich als Werbeblocker und OpenDNS-Dienst ausgibt, hat in weniger als zwei Monaten mehr als 20.000 Benutzer infiziert.

Schauen Sie sich unsere kostenlosen kommenden Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com