Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för hans smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 22 december 2021 | Ämne: Säkerhet
Den relativt nya Pysa ransomware var den dominerande stammen bakom filkrypteringsattacker i november och såg en 400 % ökning av attacker mot statliga organisationer, enligt analys av säkerhetsföretaget NCC Group.
Pysa är ett av utpressningsgängen som använder dubbel utpressning för att pressa offer att betala ett krav på utpressning och dumpade läckor från 50 tidigare utsatta organisationer förra månaden. Totalt i november ökade antalet Pysa-attacker med 50 %, vilket betyder att det gick om Conti för att ansluta Lockbit till de två vanligaste versionerna av skadlig programvara. Conti och Lockbit var de dominerande stammarna sedan augusti, enligt NCC Group.
Oförklarligt nog läcker Pysa data från mål veckor eller månader efter att ha försökt pressa dem. Den storskaliga datadumpningen följde på gemensamma brottsbekämpande åtgärder från USA och EU mot några medlemmar av REvil ransomware-gänget, som låg bakom attacken mot IT-försäljaren Kaseya.
Också känt som Mespinoza, letar Pysa-gänget efter bevis på brott bland mål att använda som hävstång under typiska utpressningsförhandlingar på flera miljoner dollar.
FBI började spåra Pysa-aktivitet i mars 2020 i ransomware-attacker mot myndigheter, institutioner, privata och hälsovårdssektorer. Gruppen använder ofta nätfisketekniker för autentiseringsuppgifter för att äventyra Remote Desktop Protocol (RDP)-anslutningar.
Pysa riktar sig till högvärdiga finans-, myndigheter och hälso- och sjukvårdsorganisationer, konstaterar NCC Group.
I alla gäng med ransomware nådde offren från Nordamerika 154 under månaden, varav 140 var amerikanska organisationer, medan de europeiska offren var 96 i november. Industrisektorn var den mest utsatta i november medan attackerna mot tekniksektorn minskade med 38 %.
NCC Group lyfter också fram ett rysktalande ransomware-gäng som heter Everest Group som tänjer på nya gränser inom dubbel utpressning genom att inte bara hota att läcka filer utan ge sina kunder tillgång till offrens IT-infrastruktur. Istället för att söka lösen sålde gruppen istället tredjepartsåtkomst till målets nätverk, vilket skapade ett nytt sätt att tjäna pengar på ett utsatt mål. Om det visar sig vara lukrativt kan detta bli en trend nästa år, varnar NCC Group.
“I november erbjöd gruppen betald tillgång till sina offers IT-infrastruktur, samt hotade att släppa stulen data om offret vägrade att betala en lösensumma”, noteras det.
“Medan försäljning av ransomware-as-a-service har ökat i popularitet under det senaste året, är detta ett sällsynt fall av en grupp som avstår från en begäran om lösen och erbjuder tillgång till IT-infrastruktur – men vi kan se copycat-attacker under 2022 och framåt.”
Security TV | Datahantering | CXO | Datacenter