PowerShell-скрипт вымогательской группировки Pysa пролил свет на тактику хакеров
25/08/21
PowerShell-скрипт, используемый вымогательской группировкой Pysa, пролил свет на типы данных, которые киберпреступники пытаются украсть во время своих атак.
Когда операторы вымогательского ПО взламывают сеть, они обычно начинают с ограниченного доступа к одному устройству. Затем они используют различные инструменты и эксплоиты для кражи других учетных данных или получения повышенных прав на разных устройствах. Получив доступ к контроллеру домена Windows, они ищут и крадут данные перед шифрованием устройств.
Злоумышленники используют похищенные данные для определения суммы требуемого выкупа, основанной на доходах компании и наличии страховых полисов, а также с целью запугать жертву и заставить ее заплатить выкуп под угрозой утечки данных.
Команда специалистов MalwareHunterTeam поделилась с изданием Bleeping Computer PowerShell-скриптом, используемым вымогательской группировкой Pysa для поиска и хищения данных с сервера. Скрипт разработан для сканирования каждого диска на предмет папок с данными, имена которых соответствуют определенным строкам на устройстве. Если папка соответствует критериям поиска, скрипт загрузит файлы папки на удаленный сервер под управлением злоумышленника.
Особый интерес представляют 123 ключевых слова, дающих представление о том, какие данные операторы вымогателей считают ценными. Скрипт ищет файлы, связанные с финансовой или конфиденциальной информацией компании, такие как аудит, банковская информация, учетные данные, налоговые формы, информация о студентах, номера социального страхования и документы SEC.
Однако он также ищет более интригующие ключевые слова, которые могут быть особенно опасными для компании в случае утечки, например, папки, содержащие слова «преступление», «расследование», «мошенничество», «бюро», «федеральный», «скрытый», «секретный», «незаконный» и «террор».