NCCGroup的研究人员报告说,PYSA和Lockbit是2021年11月威胁格局中的顶级勒索软件攻击,其中PYSA(又名Mespinoza)和Lockbit是最活跃的勒索软件团伙。与10月份相比,针对政府机构的攻击数量增加了400%。详细信息PYSA勒索软件组织(又名Mespinoza)在11月增长了50%。PYSA勒索软件运营商专注于大型或高价值的金融、政府和医疗机构。3月,FBI发布了针对美国和英国教育机构的PYSA勒索软件攻击增加的警报警告。法国网络安全机构CERT警告说,新一波勒索软件攻击将针对地方政府当局的网络。攻击者正在传播新版本的Mespinoza勒索软件(又名Pysa勒索软件)。据专家称,第一次感染是在2019年底观察到的,受害者报告说他们的文件已被一种恶意软件加密。恶意代码附加一个扩展名,锁定到加密文件的文件名。Mespinoza勒索软件随着时间的推移不断发展,在12月,威胁领域出现了一个新版本。这个新版本使用.pysa文件扩展名,该文件扩展名为该勒索软件。该变种最初旨在针对大型企业,试图最大限度地发挥运营商的作用,但法国CERT发出的警报警告称,Pysa勒索软件的目标是法国组织,尤其是地方政府机构。CERT-FR的警报指出Pysa勒索软件代码基于公共Python库。根据CERT-FR发布的一份报告,Pysa勒索软件背后的运营商对管理控制台和ActiveDirectory帐户发起了暴力攻击。一旦目标网络受到威胁,攻击者就会试图窃取公司的帐户和密码数据库。Pysa恶意软件背后的运营商还使用了PowerShell帝国渗透测试工具的一个版本,他们能够阻止防病毒产品。CERT-FR处理的事件之一涉及新版本的Pysa勒索软件,它使用.newversion文件扩展名而不是.pysa。从9月开始,PYSA勒索软件运营商也开始针对Linux系统。“NCCGroup的战略威胁情报团队已将PYSA和Lockbit确定为11月份主导勒索软件领域的威胁参与者。自今年8月以来,Conti和Lockbit一直是最大的威胁组织,但在11月,PYSA(也称为Mespinoza)以50%的增幅超过了Conti。与此同时,Conti的流行率下降了9.1%。”阅读NCC集团发布的报告。“PYSA是一种能够窃取数据并加密用户关键文件和数据的恶意软件,通常针对大型或高价值的金融、政府和医疗机构。根据NCCGroup的数据,北美和欧洲仍然是11月份受攻击最严重的地区,分别有154人和96人受害,而在欧洲,大多数勒索软件感染发生在英国以及法国、意大利和德国,与10月份相比,总人数11月的勒索软件攻击增加了1.9%。11月份,工业板块仍然是最受关注的板块。与此同时,本月汽车、住房、娱乐和零售业的攻击速度超过科技,针对该行业的攻击下降了38.1%。专家还分析了讲俄语的Everest勒索软件组织的活动,该组织被发现提供对受害者基础设施的付费访问。NCCGroup的战略威胁情报团队还表示,他们正在密切监视去年12月披露的Log4Shell漏洞的利用情况。
