Le script du ransomware Pysa montre exactement les fichiers qu’il recherche

0

Un script PowerShell utilisé par l’opération de ransomware Pysa nous donne un aperçu des types de données qu’ils tentent de voler lors d’une cyberattaque.

Lorsque des gangs de ransomware compromettent un réseau, ils commencent généralement par un accès limité à un seul appareil.

Ils utilisent ensuite divers outils et exploits pour voler d’autres informations d’identification utilisées sur le domaine Windows ou obtenir des privilèges élevés sur différents appareils.

Une fois qu’ils ont accès à un contrôleur de domaine Windows, ils recherchent et volent des données sur le réseau avant de chiffrer les appareils.

Les pirates informatiques utilisent ces données volées de deux manières.

La première consiste à générer une demande de rançon en fonction des revenus de l’entreprise et de l’existence de polices d’assurance. La seconde est d’effrayer les victimes pour qu’elles paient une rançon parce que le gang divulguera les données.

Recherche de données précieuses

MalwareHunterTeam a partagé un script PowerShell utilisé par l’opération de ransomware Pysa pour rechercher et exfiltrer les données d’un serveur.

Ce script est conçu pour analyser chaque lecteur à la recherche de dossiers de données dont les noms correspondent à certaines chaînes sur un périphérique. Si un dossier correspond aux critères de recherche, le script téléchargera les fichiers du dossier sur un serveur de dépôt distant sous le contrôle de l’acteur malveillant.

Les 123 mots-clés recherchés par le script sont particulièrement intéressants, ce qui nous donne un aperçu de ce que le gang de ransomware considère comme précieux.

Comme on pouvait s’y attendre, le script recherche des fichiers liés aux informations financières ou personnelles de l’entreprise, telles que l’audit, les informations bancaires, les identifiants de connexion, les formulaires fiscaux, les informations sur les étudiants, les numéros de sécurité sociale et les déclarations SEC.

Cependant, il recherche également des mots-clés plus intrigants qui pourraient être particulièrement dangereux pour une entreprise en cas de fuite, tels que des dossiers contenant les mots « crime », « investigation », « fraud », « bureau », « federal », « hidden », « secret », « illegal » et «terror ».

La liste complète des 123 mots-clés ciblés par le script des pirates informatiques est répertoriée dans le tableau ci-dessous.

941confidentInfoRRHH
1040Crimeinsidersaving
1099claimInsurancescans
8822Terrorinvestigationsec
9465Confidential*DisclosureIRSsecret
401KcontactITINsecurity
4506-TcontrK-1studen
ABRHCPFletterseed
AuditCRHListSigned
AddresTransactLoginsin
agreemDDRHmailsoc
Agreement*DisclosureDemogNDASS#
ARHDetailNumbSS-4
AssignmentDisclosure*AgreementPartnSSA
balancDisclosure*ConfidentialpassportSSN
bankDRHpasswdStaf
Bank*Statementemplopasswordstatement
BenefEnrolpayStatement*Bank
billingfederalpaymentSWIFT
budgetFinanpayrolltax
bureaufinancepersonTaxpayer
BrokFormPhoneunclassified
cardfraudprivacyVend
cashgovernmentprivatW-2
CDAhiddenpwdw-4
checkinghirRecursos*HumanosW-7
clandestineHRreportW-8BEN
compilationHumanResourw-9
compromatei-9resurses*humanW-9S
concealedillegalRHO 
confidimportantrouting 

Cela n’a aucun sens de modifier les noms de vos dossiers, ils n’incluent donc pas ces chaînes, car les pirates informatiques effectueront probablement des balayages manuels des données.

Cependant, savoir quels types de données un gang de rançon recherche vous donne une meilleure indication de la façon dont les gangs de ransomware tenteront d’extorquer leurs victimes.

Pysa n’est pas le seul à rechercher des fichiers particuliers après avoir violé un réseau.

Plus tôt le mois dernier, un affilié de Conti en colère a divulgué le matériel de formation pour l’opération de ransomware.

Ce matériel de formation demandait aux affiliés de rechercher immédiatement les données contenant les mots-clés suivants après avoir pris le contrôle d’un contrôleur de domaine Windows.

cyber
policy
insurance
endorsement
supplementary
underwriting
terms
bank
2020
2021
Statement

Encore une fois, cela illustre à quel point le vol de données est vital pour une attaque de ransomware et à quel point il est important de le protéger de manière adéquate.

Laisser un commentaire