Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 22. december 2021 | Emne: Sikkerhed
Den relativt nye Pysa ransomware var den dominerende stamme bag filkrypteringsangreb i november og oplevede en stigning på 400 % i angreb på statslige organisationer, ifølge analyse fra sikkerhedsfirmaet NCC Group.
Pysa er en af de ransomware-bander, der bruger dobbelt afpresning for at presse ofre til at betale et krav om afpresning og dumpede lækager fra 50 tidligere kompromitterede organisationer i sidste måned. Samlet i november steg antallet af Pysa-angreb med 50%, hvilket betyder, at det overhalede Conti til at slutte sig til Lockbit i top to af de mest almindelige versioner af malwaren. Conti og Lockbit var de dominerende stammer siden august, ifølge NCC Group.
På uforklarlig vis lækker Pysa data fra mål uger eller måneder efter forsøg på at afpresse dem. Det store datadump fulgte fælles amerikansk og EU-retshåndhævelsesaktion mod nogle medlemmer af REvil ransomware-banden, som stod bag angrebet på it-leverandøren Kaseya.
Også kendt som Mespinoza, søger Pysa-banden efter beviser på kriminalitet blandt mål, som kan bruges som løftestang under typiske forhandlinger om afpresning på flere millioner dollar.
FBI begyndte at spore Pysa-aktivitet i marts 2020 i ransomware-angreb mod regering, institutioner, private og sundhedssektorer. Gruppen anvender ofte phishing-teknikker til legitimationsoplysninger for at kompromittere RDP-forbindelser (Remote Desktop Protocol).
Pysa retter sig mod finans-, regerings- og sundhedsorganisationer af høj værdi, bemærker NCC Group.
På tværs af alle ransomware-bander nåede ofrene fra Nordamerika 154 i løbet af måneden, hvoraf 140 var amerikanske organisationer, mens europæiske ofre talte 96 i november. Industrisektoren var det mest målrettede i november, mens angreb på teknologisektoren faldt 38 %.
NCC Group sætter også fokus på en russisktalende ransomware-bande kaldet Everest Group, der flytter nye grænser inden for dobbeltafpresning ved ikke kun at true med at lække filer, men give deres kunder adgang til ofrenes it-infrastruktur. I stedet for at søge en løsesum solgte gruppen i stedet tredjepartsadgang til målets netværk, hvilket skabte en ny måde at tjene penge på et kompromitteret mål. Hvis det viser sig lukrativt, kan det blive en trend næste år, advarer NCC Group.
“I november tilbød gruppen betalt adgang til deres ofres IT-infrastruktur, ligesom de truede med at frigive stjålne data, hvis ofret nægtede at betale en løsesum,” bemærkes det.
“Mens salg af ransomware-as-a-service har oplevet en stigning i popularitet i løbet af det sidste år, er dette et sjældent tilfælde af en gruppe, der giver afkald på en anmodning om løsesum og tilbyder adgang til it-infrastruktur – men vi kan muligvis se copycat-angreb i 2022 og frem.”
Security TV | Datastyring | CXO | Datacentre