Peneliti Berbagi Analisis Lengkap Terkait dengan Ransomware PYSA

Mark Teknologi
Mark Teknologi
November 30, 2023

Kelompok Ransomware PYSA

Analisis para peneliti selama 18 bulan terhadap operasi ransomware PYSA telah menemukan bahwa, mulai Agustus 2020, kartel kejahatan dunia maya mengikuti siklus pengembangan perangkat lunak 5 tahap, dengan pembuat malware memprioritaskan fitur untuk meningkatkan efisiensi aktivitasnya.


Ini termasuk alat yang mudah digunakan, seperti mesin pencari teks lengkap, untuk memudahkan ekstraksi metadata dan memungkinkan pelaku ancaman dengan cepat mengidentifikasi dan mengakses informasi korban.


"Kelopok ini diketahui secara hati-hati menyelidiki target bernilai tinggi sebelum meluncurkan serangannya, membahayakan sistem perushaan dan memaksa perusahaan membayar uang tebusan yang besar untuk memulihkan data mereka," kata PRODAFT, sebuah perusahaan keamanan siber Swiss, pada sebuah laporan yang diterbitkan minggu lalu.


PYSA, yang merupakan singkatan dari "Protect Your System, Amigo" dan merupakan penerus ransomware Mespinoza, ditemukan pada Desember 2019 dan sejak itu meningkat menjadi jenis ransomware paling umum ketiga yang terdeteksi selama kuartal keempat tahun 2021.


Kelompok penjahat dunia maya tersebut diduga telah membobol informasi pribadi milik 747 orang antara September 2020, hingga servernya dimatikan pada akhir Januari ini.


Mayoritas korbannya berada di Amerika Serikat dan Eropa, dengan kelompok yang secara khusus menargetkan sektor pemerintah, perawatan kesehatan, dan pendidikan. "Amerika Serikat adalah negara yang paling menderita, menyumbang 59,2 persen dari semua insiden PYSA yang dilaporkan, diikuti oleh Inggris Raya sebesar 13,1%," kata Intel 471 dalam ulasan serangan ransomware yang tercatat dari Oktober hingga Desember 2021.


PYSA, seperti keluarga ransomware lainnya, diketahui menggunakan strategi pemerasan ganda "perburuan besar", yang mengharuskan pengungkapan informasi yang dicuri jika korban menolak untuk memenuhi tuntutan kelompok.


Infrastruktur Jaringan Pysa Ransomware

Setiap file yang memenuhi syarat dienkripsi dan diberi ekstensi ".pysa", dengan decoding yang memerlukan kunci pribadi RSA, yang hanya dapat diakses setelah membayar uang tebusan. Diperkirakan lebih dari 58% korban PYSA melakukan pembayaran digital.


Berdasarkan riwayat komit, PRODAFT mengidentifikasi salah satu penulis proyek sebagai "dodo@mail.pcc," aktor ancaman yang dianggap berada di negara yang menerapkan waktu musim panas.


Menurut penelitian, setidaknya 11 akun, yang sebagian besar dibentuk pada 8 Januari 2021, mengendalikan seluruh operasi. Meskipun demikian, empat dari identitas ini — yang bernama t1, t3, t4, dan t5 — menyumbang lebih dari 90% aktivitas di panel administratif grup.


Timeline Aktivitas Pysa Ransomware

Kelemahan keamanan operasional lainnya oleh anggota kelompok memungkinkan identifikasi layanan tersembunyi yang berjalan di jaringan anonimitas TOR — penyedia hosting (Snel.com B.V.) yang berbasis di Belanda — memberikan wawasan tentang metode aktor.


Infrastruktur PYSA juga mencakup kontainer yang di-docker, seperti server kebocoran publik, server database, dan server administrasi, serta cloud Amazon S3 untuk menyimpan file terenkripsi, dengan total 31,47 TB.


Panel manajemen kebocoran yang unik juga digunakan untuk memeriksa informasi rahasia dalam file yang diambil dari jaringan internal korban sebelum enkripsi. Selain menggunakan sistem kontrol versi Git untuk mengoordinasikan proses pengembangan, panel ini ditulis dalam PHP 7.3.12 dengan kerangka kerja Laravel.


Selanjutnya, panel administrasi memperlihatkan sejumlah titik akhir API yang memungkinkan sistem untuk membuat daftar file, mengunduh file, dan menganalisis file untuk pencarian teks lengkap, yang dimaksudkan untuk mengelompokkan informasi korban yang dicuri ke dalam kategori luas untuk pengambilan sederhana.


"Grup ini didukung oleh pengembang terampil yang menerapkan paradigma operasional saat ini ke siklus pengembangan grup," jelas studi tersebut. "Daripada jaringan longgar aktor ancaman semi-otonom, ini menunjukkan lingkungan profesional dengan pembagian tugas yang terorganisir dengan baik."


Jika ada, data menunjukkan bahwa kelompok ransomware seperti PYSA dan Conti beroperasi dan terstruktur seperti perusahaan perangkat lunak sah, termasuk dengan departemen SDM untuk menarik rekrutan baru dan penghargaan "karyawan bulan ini" untuk mengatasi tantangan yang sulit.


Selain itu, sebuah penelitian dari perusahaan keamanan siber Sophos menunjukkan bahwa dua atau lebih kelompok pelaku ancaman menghabiskan setidaknya 5 bulan dalam jaringan departemen pemerintah Amerika Serikat regional yang dirahasiakan sebelum mengirimkan muatan ransomware LockBit pada awal tahun.