Dijital ortam tehlikelerle doludur ve en kötü şöhretlileri arasında PYSA fidye yazılımı. 2020 yılının başlarında ortaya çıkan ve açılımı "Protect Your Systems Amigo" olan PYSA, hızla sağlık, eğitim, devlet ve finans kurumları da dahil olmak üzere çeşitli sektörler için önemli bir tehdit haline geldi.
PYSA Fidye Yazılımı Nedir?
Mespinoza olarak da bilinen PYSA fidye yazılımı, kurbanın bilgisayarındaki dosyaları şifreleyerek erişilemez hale getirmek için tasarlanmış kötü amaçlı bir yazılımdır. Saldırganlar daha sonra bir Fidye şifre çözme anahtarı karşılığında. Ancak PYSA bununla da kalmıyor; bir şifre çözücü çi̇fte gasp takti̇ği̇Fidye ödenmezse çalınan verileri sızdırma veya satma tehdidinde bulunarak, taleplere uymaları için kurbanlar üzerinde ek baskı oluşturuyor.
PYSA Fidye Yazılımı Nasıl Çalışır?
PYSA fidye yazılımının metodolojisi hem sofistike hem de yıkıcıdır. Saldırganlar genellikle şu yollarla ilk erişimi elde ederler Uzlaşılmış Uzak Masaüstü Protokolü (RDP) kimlik bilgileri, oltalama e-postalarıveya kaba kuvvet saldırıları. Ağa girdikten sonra, dahili keşif için aşağıdakiler gibi bir dizi araç kullanırlar Gelişmiş Port Tarayıcı ve Gelişmiş IP Tarayıcıve konuşlandırın WinSCP gibi hizmetlere veri sızıntısı için MEGA.NZ sistemleri şifrelemeden önce.
PYSA'nın şifreleme sürecinin teknik detayları özellikle endişe vericidir. Benzersiz bir şifreleme KEY ve IV değeri kullanarak verileri 100 baytlık bloklar halinde şifreleyen her dosya için AES CBC Modu algoritması. Şifrelenmiş ANAHTAR ve IV değerleri daha sonra bir RSA açık anahtarıBöylece yalnızca saldırganların şifre çözme araçlarını sağlayabilmesini sağlar.
Hedef Demografisi ve Önemli Saldırılar
PYSA fidye yazılımı, hassas bilgileri işleyen sektörlere odaklanarak hedefleri üzerinde geniş bir ağ oluşturdu. ABD ve Birleşik Krallık'taki eğitim kurumları özellikle çok etkilendi ve FBI'ın PYSA'nın artan etkinliği hakkında özel uyarılar yayınlamasına neden oldu. FBI'dan böyle bir uyarı Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) K-12 okulları, üniversiteler ve ilahiyat fakültelerine yönelik tehdidin altını çizdi.
PYSA'ya atfedilen kayda değer saldırılar arasında finansal hizmetler sağlayıcısının MyBudget Avustralya'da, bazı Amerikan okul bölgelerinde ve Londra'nın Hackney Konseyi'nde. Bu olaylar, fidye yazılımının geniş çaplı aksaklıklara yol açma kapasitesinin ve sağlam siber güvenlik önlemlerinin öneminin altını çizmektedir.
Dağıtım Teknikleri ve Araçları
PYSA fidye yazılımının dağıtımı çok yönlüdür ve genellikle aşağıdakilerden yararlanır oltalama kampanyaları ve sömürmek RDP sunucuları. Saldırganların aşağıdaki gibi çerçeveler kullandıkları bilinmektedir Cobalt Strike fidye yazılımını bir ağ içinde yaymak için. Ayrıca, saldırılarını kolaylaştırmak için aşağıdakiler de dahil olmak üzere çeşitli araçlar kullanırlar Mimikatz kimlik hırsızlığı için, Koadic ve PowerShell komutları yürütmek için ve Keski tünelleme için.
Fidye Talepleri ve İletişim
PYSA fidye yazılımı mağdurlarına saldırganlarla şu yolla iletişime geçmeleri talimatı verilir e-posta ödeme talimatları için. Fidye genellikle şu şekilde talep edilir kripto para birimleriBu da saldırganlara bir dereceye kadar anonimlik sağlamakta ve işlemlerin izlenmesini zorlaştırmaktadır. Fidye yazılımı saldırılarında dijital para birimlerinin bu şekilde kullanılması, bu para birimlerini yasadışı faaliyetlerle ilişkilendiren olumsuz bir kamuoyu algısına katkıda bulunmuştur.
Tespit ve Hafifletme Stratejileri
PYSA fidye yazılımının tespit edilmesi, ağ trafiğinin tehlikeye girme belirtilerine karşı izlenmesini ve kötü amaçlı yazılımdan koruma araçlarının kullanılmasını içerir. Tehdidin azaltılması, düzenli güvenlik denetimleri ve çalışanların siber güvenlik eğitimi de dahil olmak üzere proaktif bir yaklaşım gerektirir. PYSA gibi gelişmiş çözümler SentinelOne Singularity XDR Platformu PYSA ile ilgili faaliyetleri tespit edip durdurabilir ve sistemleri enfeksiyon öncesi duruma geri yüklemek için Onarma veya Geri Alma gibi özellikler sunar.
İyileşme ve Önleme
SentinelOne'ın platformu gibi özel bir yazılım olmadan bir PYSA saldırısından kurtulmak için eğitim, güçlü parola politikaları, çok faktörlü kimlik doğrulama ve sistemlerde düzenli güncelleme ve yamaların bir kombinasyonu gerekir. Kapsamlı bir yedekleme ve felaket kurtarma planı oluşturmak, bir saldırının etkisini en aza indirmek için çok önemlidir.
Kripto Para Birimleri ile İlişki
için talep fidye ödemeleri PYSA fidye yazılımı operasyonlarının ayırt edici özelliklerinden biri kripto para birimidir. Kripto para birimleri saldırganlara arzuladıkları anonimliği sunarak kolluk kuvvetlerinin fonları takip etmesini ve kurtarmasını zorlaştırmaktadır. Fidye yazılımı saldırılarının bu yönü, kripto para birimlerinin itibarını istemeden zedelemiş ve meşru kullanımlarına rağmen onları halkın gözünde suç faaliyetleriyle ilişkilendirmiştir.
Harici Kaynaklar ve Daha Fazla Okuma
PYSA fidye yazılımına ilişkin anlayışlarını derinleştirmek ve siber güvenlik duruşlarını geliştirmek isteyenler için çok sayıda kaynak mevcuttur. Bu kaynaklar Cybereason blog PYSA hakkında ayrıntılı bir tehdit analizi raporu sunarken ConnectWise blog buna karşı nasıl korunulacağına dair içgörüler sunuyor. Ek olarak, CISA'nın Fidye Yazılımı Durdurma sayfası kaynaklar ve raporlama araçları için mükemmel bir başlangıç noktasıdır.
Ekler
A. PYSA Fidye Yazılımı için Uzlaşma Göstergeleri (IOC'ler)
PYSA fidye yazılımının tespit edilmesine ve önlenmesine yardımcı olmak için, işte IOC'lerin bir listesi:
- Çalıştırılabilir SHA-256 karması:
7FD3000A3AFBF077589C300F90B59864EC1FB716FEBA8E288ED87291C8FDF7C3 - Fidye notu dosya adları:
Readme.README - Geçici dosyalar:
%TEMP%\update.bat - Muteks nesneleri:
Pysa - İletişim için kullanılan e-posta alanları:
protonmail.com,onionmail.org - Fidye notu ile ilişkili kayıt defteri anahtarları.
B. PYSA için YARA Tabanlı Algılama
Güvenlik uzmanları, sistemlerindeki PYSA fidye yazılımını tespit etmek için aşağıdaki YARA kuralını kullanabilir:
kural PYSA_Ransomware {
meta:
description = "PYSA Fidye Yazılımını Tespit Ediyor"
author = "Adınız"
referans = "Buraya referans ekleyin"
dizeler:
$pysa_file_extension = ".pysa" ascii genişliği
$pysa_ransom_note = "Readme.README" ascii genişliğinde
$pysa_email = /contact\@protonmail\.com/ ascii wide
Durum:
herhangi biri
}
C. Fidye Yazılımı Olaylarının Bildirilmesi için İletişim Bilgileri
Bir PYSA fidye yazılımı olayından şüpheleniyorsanız, derhal ilgili makamlarla iletişime geçin. Bu CISA rapor fidye yazılımı sayfası raporlama konusunda rehberlik sağlar ve FBI'ın İnternet Suçları Şikayet Merkezi (IC3) siber olayların bildirilmesi için bir başka değerli kaynaktır.
Sonuç
PYSA fidye yazılımı, mücadele etmek için dikkat ve proaktif önlemler gerektiren karmaşık ve gelişen bir tehdidi temsil etmektedir. Mekanizmalarını anlamak, kaynaklar aracılığıyla bilgi sahibi olmak ve sağlam siber güvenlik uygulamaları kullanmak, bu ve diğer fidye yazılımı varyantlarına karşı korunmada temel adımlardır.
Bu makalede özetlenen bilgi ve stratejilerden yararlanarak, kuruluşlar ve bireyler PYSA fidye yazılımı tehdidine karşı savunmalarını güçlendirebilirler. Unutmayın, siber güvenlik sürekli bir süreçtir ve PYSA gibi tehditlerin önüne geçmek, birbirine bağlı dijital dünyamızda kritik öneme sahiptir.
Sözlük
Açıklığı sağlamak için, makale boyunca kullanılan terimlerin kısa bir sözlüğünü burada bulabilirsiniz:
- RDP (Uzak Masaüstü Protokolü): Microsoft tarafından geliştirilen ve bir kullanıcıya ağ bağlantısı üzerinden başka bir bilgisayara bağlanmak için grafik bir arayüz sağlayan tescilli bir protokol.
- Kimlik Avı: Kişileri hassas veriler sağlamaya ikna etmek için meşru bir kurum gibi davranan bir kişi tarafından hedeflerle e-posta, telefon veya kısa mesaj yoluyla iletişime geçildiği bir siber suç.
- Çifte Gasp: Saldırganların sadece verileri şifrelemekle kalmayıp aynı zamanda fidye ödenmediği takdirde yayınlamakla tehdit ettiği bir fidye yazılımı taktiği.
- Cobalt Strike: Saldırganlar tarafından genellikle ağlarda yer edinmek ve fidye yazılımı gibi yükler göndermek için kullanılan meşru bir güvenlik aracı.
TR 
EN