最活跃的勒索团伙在这里

51CTO社区编辑加盟指南，欢迎关注！

NCC Group的研究人员报告称，PYSA和Lockbit是2021年11月威胁领域中勒索软件攻击有所增加，而PYSA(又名 Mespinoza)和Lockbit是最活跃的勒索软件团伙。与 10 月份相比，打击政府组织的攻击数量增加了 400%。

详情

PYSA 勒索软件组织(又名 Mespinoza)在11月增长了50%。PYSA 勒索软件运营商专注于大型或高价值的金融、政府和医疗保健组织。

今年 3 月，FBI发出警报，警告针对美国和英国教育机构的PYSA 勒索软件攻击有所增加 。CERT 法国网络安全机构就针对地方政府当局网络的新一波勒索软件攻击发出警告。攻击者正在传播新版本的 Mespinoza 勒索软件(又名 Pysa 勒索软件)。

据专家称，第一次感染是在2019年末观察到的，受害者报告说他们的文件被一种恶意软件加密了。恶意代码附加了扩展名，锁定 到加密文件的文件名。

Mespinoza 勒索软件随着时间的推移不断发展，12月，威胁领域出现了一个新版本。这个新版本使用了 . pysa 文件扩展名，它为这个勒索软件命名。该变种最初用于针对大型企业，试图最大限度地提高运营商的努力，但法国 CERT 发布的警报警告说，Pysa 勒索软件针对的是法国组织，尤其是当地政府机构。

CERT-FR 的警报指出 Pysa 勒索软件代码基于公共 Python 库。根据 CERT-FR 发布的报告，Pysa 勒索软件背后的运营商对管理控制台和 Active Directory 帐户发起了暴力攻击。

一旦入侵了目标网络，攻击者就会试图窃取公司的帐户和密码数据库。Pysa 恶意软件背后的操作员也使用了PowerShell Empire 渗透测试工具的一个版本 ，他们能够阻止防病毒产品。CERT-FR 处理的其中一个事件涉及新版本的 Pysa 勒索软件，该软件使用 . newversion 文件扩展名而不是 . pysa。

从 9 月开始，PYSA 勒索软件运营商也开始针对 Linux 系统。

“NCC 集团的战略威胁情报团队已将 PYSA 和 Lockbit 确定为 11 月主导勒索软件领域的威胁行为者。从今年 8 月开始，Conti 和 Lockbit 一直是最大的威胁群体，但在 11 月，PYSA，也被称为 Mespinoza，以 50% 的增长超过了 Conti。与此同时，Conti 的流行率下降了 9.1%。” 阅读NCC 集团发布的报告。“PYSA 是一种恶意软件，能够窃取数据并加密用户的关键文件和数据，通常针对大型或高价值的金融、政府和医疗保健组织。

据NCC Group 称，北美和欧洲仍然是11月受攻击最严重的的地区，分别有154和96名受害者，而在欧洲，大多数勒索软件感染发生在英国和法国，意大利和德国 与 10 月份相比，11 月份勒索软件攻击的总数增加了1.9%。

工业板块在11月份仍然是最受关注的板块。与此同时，汽车、住房、娱乐和零售业务本月超过了技术，针对该行业的攻击减少了38.1%。

专家们还分析了讲俄语的 Everest 勒索软件组织的活动，该组织被发现提供对受害者基础设施的付费访问。NCC Group 的战略威胁情报团队还表示，他们正在密切监视12 月披露的Log4Shell漏洞的利用情况。