Apa Itu Pysa Ransomware? Pengertian, Cara Kerja, & Pencegahannya
Ransomware Pysa awalnya muncul pada Oktober 2018. Versi awal ransomware mengenkripsi file menggunakan akhiran ".locked", yang merupakan tipikal di antara malware. Sejak Desember 2019, versi baru Pysa telah dijelaskan di open source. Versi ini dikenal sebagai Pysa karena menghasilkan file terenkripsi dengan akhiran ".pysa".
Apa itu Pysa Ransomware?
Pysa Ransomware adalah jenis ransomware yang semakin sering digunakan dalam serangan "big game", di mana penyerang memilih target berdasarkan kemampuan mereka untuk membayar. PYSA adalah singkatan dari "Protect Your System Amigo," dan biasanya disertakan catatan tebusan yang ditinggalkan untuk korban. Pysa adalah versi keluarga ransomware Mespinoza, menurut pakar keamanan siber, dan telah aktif setidaknya sejak Oktober 2019.
Perangkat lunak berbahaya mencuri data sensitif sebelum mengenkripsinya dan kemudian menggunakan data yang dicuri untuk memaksa pengguna membayar uang tebusan sebagai ganti file.
Pysa (juga dikenal sebagai Mespinoza) merupakan alat ransomware yang dioperasikan manusia yang dikembangkan oleh kelompok Advanced Persistent Threat yang belum diketahui. Pysa, seperti ransomware umum lainnya pada tahun 2020, berkonsentrasi pada target keuangan dan pemerintah bernilai tinggi, tetapi juga terlibat dalam serangan terhadap organisasi kesehatan dan penegakan hukum. NHS, Pysa Ransomware
Cara Kerja Pysa Ransomware
Pysa ransomware mengenkripsi data dan kemudian menjatuhkan file Readme. README di desktop pengguna dan lokasi Windows lainnya. Dalam surat singkat tersebut, penyerang menjelaskan apa yang terjadi pada komputer korban dan bahwa mereka harus menghubungi mereka dengan mengirimkan email ke alamat email tertentu.
Setelah dikirimkan, ransomware akan mencoba untuk mengekstrak informasi sensitif (nama pengguna, kata sandi, database, dan file bisnis internal) sebelum mengenkripsi file non-sistem yang dapat diakses dengan implementasi AES. Pysa Ransomware akan mengenkripsi berbagai format file umum (.mp3,.mp4,.png,.jpg,.docx,.pptx,.xlsx,.rar).
Informasi yang dicuri pada akhirnya akan digunakan untuk memeras korban agar membayar tuntutan tebusan penyerang. Akibatnya, korban tidak dapat memulihkan akses ke file mereka kecuali mereka menggunakan program atau kunci dekripsi khusus. Organisasi atau orang yang menolak untuk memenuhi permintaan peretas akan membuat informasi mereka dipublikasikan di situs web yang dikendalikan oleh operator Pysa.
Sample #Mespinoza #Ransomware extension .pysa
— GrujaRS (@GrujaRS) January 5, 2021
Ransom note;Readme.README.txt
Sample https://t.co/Qe5jy87xe8https://t.co/SgR3bw4HnF pic.twitter.com/9CEZG12VPa
Awalnya, versi ini digunakan untuk menargetkan organisasi besar untuk memaksimalkan keterampilan penyerang, tetapi peringatan yang dikeluarkan oleh FBI, NHS, dan CERTFR memperingatkan bahwa, seperti Ryuk dan Maze, ransomware Pysa menargetkan lembaga pemerintah daerah, lembaga pendidikan, perusahaan swasta , dan sektor kesehatan.
Pelaku ancaman PYSA ransomware sekarang menargetkan lembaga pendidikan menggunakan RAT yang dikenal sebagai "ChaChi" dalam upaya pemerasan dua arah. Sementara kampanye ransomware sering menyertakan RAT, kombinasi PYSA dan ChaChi bermasalah.
ChaChi RAT dibuat pada tahun 2019 dan sejak itu telah ditingkatkan untuk menyertakan kemampuan seperti penerusan porta, tunneling DNS, dan obfuscation. ChaChi menyediakan kemampuan command-and-control (C2) kepada pelaku ancaman PYSA menggunakan protokol DNS dan HTTP.
Ketika PYSA mendapatkan akses ke jaringan korban, PYSA melakukan pengintaian menggunakan alat seperti Advanced Port Scanner dan Advanced IP Scanner. Setelah jaringan yang ditargetkan telah disusupi, penyerang berusaha untuk mengekstrak database akun dan kata sandinya. Untuk menghentikan perangkat lunak antivirus, operator juga menggunakan versi alat pengujian PowerShell Empire, Koadic, dan Mimikatz. Sebelum mengenkripsi semua perangkat Windows dan Linux, penyerang menggunakan alat ini untuk menjelajahi sistem, meningkatkan akses, dan mencuri data penting.
Distribusi Pysa Ransomware
 |
| Gambar dari Twitter GrujaRS |
Pysa memiliki strategi "big game hunting", di mana geng ransomware berkonsentrasi pada aset bernilai tinggi di perusahaan yang paling rentan terhadap kehilangan data atau kegagalan sistem. Menurut hipotesis, korban seperti penyedia layanan kesehatan, entitas pemerintah, dan penyedia layanan terkelola (MSP) akan lebih bersedia membayar uang tebusan dengan cepat, berapa pun biayanya.
Pysa adalah ransomware yang dioperasikan manusia, berbeda dengan ancaman yang lebih otomatis seperti WannaCry dan Petya. Hal ini sering disebarkan oleh serangan brutal terhadap server dengan RDP atau AD yang terpapar ke Internet, tetapi juga dapat dikirimkan melalui kampanye email spam atau phishing. Pelaku ancaman kemudian mencuri database kredensial organisasi. Menggunakan skrip PowerShell dan Batch, solusi antivirus dicoba dihentikan – atau bahkan dihapus. Pysa ransomware telah disebarkan ke 46 perusahaan berbeda, termasuk korban di Prancis, Australia, dan Amerika Serikat.
Serangan brute-force tertentu terdeteksi pada panel administrasi pusat dan pada beberapa akun ACTIVE DIRECTORY. Selain itu, beberapa kredensial administrator domain diretas. Basis data kata sandi dicuri segera sebelum serangan. Beberapa koneksi RDP yang tidak sah dibuat antara pengontrol domain menggunakan nama host yang tidak dikenal, yang mungkin terkait dengan kumpulan intrusi. Laporan CERTFR tentang Serangan Ransomware Mespinoza/Pyza
Cara Melindungi Diri dari Pysa Ransomware
Jika perangkat jaringan terinfeksi dengan ransomware Pysa, ia akan mulai mengenkripsi file, yang mungkin juga menyertakan file jarak jauh di lokasi jaringan. Karena jenis ransomware Pysa terbaru tidak memiliki alat dekripsi, pencegahan lebih baik daripada mengobati dalam skenario ini. Saya sangat menyarankan Anda untuk mengikuti tindakan pencegahan keamanan anti-ransomware yang diuraikan di bawah ini untuk keamanan online Anda.
1. Pastikan bahwa semua staf menerima pelatihan yang tepat
Sangat penting untuk meningkatkan kesadaran dan membantu karyawan Anda dalam mendeteksi email phishing, dengan menekankan bahwa mereka tidak boleh mengklik lampiran atau tautan web apa pun yang terkandung di dalam email yang diduga phishing. Email ini biasanya dikirim dari alamat yang tidak diketahui atau meragukan. Peretas biasanya melabeli email mereka sebagai "penting" atau "resmi", yang memberikan rasa aman palsu kepada pengguna.
2. Perbarui perangkat lunak Anda
Anda harus selalu menggunakan fitur dan alat pembuat perangkat lunak resmi, seperti pembaruan otomatis. Program atau data apa pun hanya boleh diperoleh dari sumber yang sah dan tepercaya, serta melalui koneksi langsung. Jangan pernah menggunakan metode/alat aktivasi yang tidak disetujui untuk mendapatkan pembaruan karena dapat menginfeksi komputer selama proses aktivasi.
3. Jalankan pemindaian sistem operasi rutin
Karena kekurangannya mempengaruhi seluruh mesin, sistem operasi Anda adalah komponen program yang paling penting. Oleh karena itu, memeriksa dan meningkatkan sistem operasi Anda sangat penting. Anda harus melakukannya dengan menggunakan paket antivirus atau anti-spyware yang andal dan selalu memperbaruinya. Selain itu, sistem operasi adalah perangkat lunak yang sangat canggih, dan sebagai akibatnya, sering kali terdapat cacat yang dapat menjadi bahaya keamanan. Memperbarui sistem operasi Anda dapat membantu Anda menghentikan serangan ini dengan cepat.
Selanjutnya, untuk perlindungan ekstra, Anda dapat :
- Pastikan semua perangkat memiliki konfigurasi yang aman.
- Aktifkan pengaturan perlindungan tamper di produk keamanan.
- Otentikasi multi-faktor (MFA) dan kebijakan penguncian harus digunakan, terutama untuk akun administrator.
- Gunakan akun administrator hanya jika benar-benar penting.
- Gunakan layanan administrasi jarak jauh yang menggunakan protokol yang sangat terenkripsi dan mengizinkan koneksi hanya dari pengguna atau tempat yang berwenang.
- Pantau terus sistem Anda untuk perilaku yang tidak biasa sehingga kompromi jaringan dapat dikenali sesegera mungkin.