在3月15日,美国联邦调查局(FBI)在脸书及网站上发布公告,勒索软件Pysa(也称为Mespinoza)被披露最近针对美国12个州及教育机构增加攻击,而且还特别针对高等教育、K-12学校和神学院。而公告中也提到,去年FBI就已经发现到Pysa对美国和其他国家的政府部门、教育机构、私人公司及医疗组织的攻击,那些攻击者通过破解RDP身份认证及网络钓鱼电子邮件,使用两套网络扫描工具进行侦察,并安装开源工具,如PowerShell Empire、Koadic及Mimikatz等,然后他们会执行指令停用受害者的杀毒功能,再部署勒索软件。
接着,攻击者会使用开源工具WinSCP,继续加密所有的设备和资料,让用户无法使用文件、数据库、虚拟机、备份和应用程序,并在用户的登录画面,显示详细的赎金消息及如何联系攻击者的信息,如果他们未成功得到赎金,会显示资料将被上传至暗网销售。此外,勒索软件还会在部署后放置在用户的下载文件夹,在内存执行的处理程序文件名也会伪装成svchost.exe。但在一些实例中,攻击者也会将恶意文件移除,上述两种结果都让受害者无法找到恶意软件。
之后,攻击者会将窃取资料上传至云计算硬盘Mega(MEGA.NZ),但特别的是,他们在传输资料的方式,是受害者计算机安装这套服务的个人端应用程序或进入MEGA网站进行上传,相较于以往攻击者外泄资料的惯用方式,此种做法可让受害者事后可明确追查被窃走的资料。
