Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

PowerShell-скрипт вымогательской группировки Pysa пролил свет на тактику хакеров

25/08/21

hack46-Aug-25-2021-10-55-35-72-AMPowerShell-скрипт, используемый вымогательской группировкой Pysa, пролил свет на типы данных, которые киберпреступники пытаются украсть во время своих атак.

Когда операторы вымогательского ПО взламывают сеть, они обычно начинают с ограниченного доступа к одному устройству. Затем они используют различные инструменты и эксплоиты для кражи других учетных данных или получения повышенных прав на разных устройствах. Получив доступ к контроллеру домена Windows, они ищут и крадут данные перед шифрованием устройств.

Злоумышленники используют похищенные данные для определения суммы требуемого выкупа, основанной на доходах компании и наличии страховых полисов, а также с целью запугать жертву и заставить ее заплатить выкуп под угрозой утечки данных.

Команда специалистов MalwareHunterTeam поделилась с изданием Bleeping Computer PowerShell-скриптом, используемым вымогательской группировкой Pysa для поиска и хищения данных с сервера. Скрипт разработан для сканирования каждого диска на предмет папок с данными, имена которых соответствуют определенным строкам на устройстве. Если папка соответствует критериям поиска, скрипт загрузит файлы папки на удаленный сервер под управлением злоумышленника.

Особый интерес представляют 123 ключевых слова, дающих представление о том, какие данные операторы вымогателей считают ценными. Скрипт ищет файлы, связанные с финансовой или конфиденциальной информацией компании, такие как аудит, банковская информация, учетные данные, налоговые формы, информация о студентах, номера социального страхования и документы SEC.

Однако он также ищет более интригующие ключевые слова, которые могут быть особенно опасными для компании в случае утечки, например, папки, содержащие слова «преступление», «расследование», «мошенничество», «бюро», «федеральный», «скрытый», «секретный», «незаконный» и «террор».

Темы:ПреступленияBleeping ComputerВымогателиКиберугрозыMalwareHunterTeam
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...