FBI-Warnung: Pysa-Ransomware zielt auf Bildungssektor

Cyber Security News

Das FBI hat eine Warnung an Organisationen des Bildungssektors in den USA und Großbritannien herausgegeben, in der vor einer Zunahme von mehrstufigen, doppelten Erpressungsangriffen mit der Ransomware-Variante Pysa gewarnt wird.

Pysa, auch bekannt als Mespinoza, wurde bei Angriffen auf höhere Bildungseinrichtungen, K-12-Schulen und Seminare in 12 US-Bundesstaaten und Großbritannien entdeckt.

Die Variante wurde vom FBI seit März 2020 bei Angriffen auf verschiedene Sektoren, einschließlich US-amerikanischer und ausländischer Regierungen, des Gesundheitswesens und Unternehmen des privaten Sektors, aufgespürt.

Der anfängliche Bedrohungsvektor sind entweder Phishing-E-Mails oder RDP-Endpunkte, die über kompromittierte Anmeldeinformationen gekapert werden.

Open Source Advanced Port Scanners und Advanced IP Scanners werden dann zur Netzwerkerkundung verwendet, bevor weitere Open Source-Tools wie PowerShell Empire, Koadic und Mimikatz installiert werden, um zusätzliche Malware hochzuladen, Passwörter abzugreifen und mehr.

Die Bedrohungsakteure versuchen auch, Antiviren-Funktionen im Netzwerk des Opfers zu deaktivieren, bevor sie die Ransomware einsetzen, warnte das FBI.

“Die Cyber-Akteure exfiltrieren dann Dateien aus dem Netzwerk des Opfers, manchmal unter Verwendung des kostenlosen Open-Source-Tools WinSCP, und verschlüsseln alle angeschlossenen Windows- und/oder Linux-Geräte und -Daten, so dass kritische Dateien, Datenbanken, virtuelle Maschinen, Backups und Anwendungen für die Benutzer unzugänglich werden”, heißt es in der Warnung weiter.

“In früheren Vorfällen haben Cyber-Akteure Arbeitsunterlagen exfiltriert, die persönlich identifizierbare Informationen (PII), Lohnsteuerinformationen und andere Daten enthielten, die dazu verwendet werden konnten, Opfer zur Zahlung eines Lösegelds zu erpressen.”

Alle exfiltrierten Daten werden auf die Cloud-Speicher-Site Mega.nz hochgeladen.

Die Nachricht kommt, nachdem ein College in der zweitgrößten Stadt Großbritanniens, Birmingham, einen größeren Ransomware-Angriff gemeldet hat, der die Schließung seiner Campus-Gebäude für Studenten erzwang.

Das South and City College sagte, dass einige Studenten heute zurückkehren sollten, nachdem ein Ransomware-Vorfall am vergangenen Wochenende “bestimmte Computersysteme in unserem Netzwerk unzugänglich gemacht hatte.”

Laut Palo Alto Networks sind die durchschnittlichen Lösegeldzahlungen im vergangenen Jahr um 171 % gestiegen.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com