PYSA, yang juga dikenal dengan Mespinoza, telah mengambil alih Conti sebagai kelompok ancaman ransomware teratas untuk bulan November. Itu bergabung dengan Lockbit, yang telah mendominasi ruang sejak Agustus.
Menurut wawasan NCC Group bulan November tentang sektor ransomware, PYSA meningkatkan pangsa pasarnya dengan peningkatan 50 persen dalam jumlah organisasi yang ditargetkan, yang mencakup lonjakan 400 persen dalam serangan terhadap pemerintah -sector systems.
Double-Extortion and Beyond
PYSA secara teratur menggunakan pemerasan ganda terhadap targetnya, baik mengekstraksi dan mengenkripsi data, kemudian mengancam akan mempublikasikan data tersebut ke publik jika korban tidak membayar uang tebusan.
Maret lalu, FBI mengirimkan peringatan khusus tentang fokus PYSA pada sektor pendidikan, peringatan sekolah untuk waspada terhadap umpan phishing dan serangan Brute-force Remote Desktop Protocol sebagai teknik akses awal. informasi (PII), informasi pajak gaji dan data lain yang dapat digunakan untuk memeras korban untuk membayar uang tebusan,” kata F. BI memperingatkan.
Everest Mengubah Taktik untuk Menjual Akses Awal
Grup ransomware berbahasa Rusia Everest membawa taktik pemerasannya ke tingkat yang lebih tinggi, mengancam akan menjual akses ke sistem yang ditargetkan jika tuntutan mereka tidak dipenuhi, NCC Group menambahkan.
“Pada bulan November, kelompok tersebut menawarkan akses berbayar ke infrastruktur TI korban mereka, serta mengancam akan merilis data curian jika korban menolak membayar uang tebusan,” lapor NCC Group. “Ini termasuk data yang terkait dengan pemerintah Argentina, Kementerian Ekonomi dan Keuangan Peru, dan Polisi Brasil.”
Dalam beberapa kasus, Everest mengabaikan permintaan tebusan sama sekali dan langsung menjual akses, NCC Group melaporkan. Analis mengamati untuk melihat apakah ini memicu tren baru di antara grup lain.
“Meskipun penjualan ransomware-as-a-service telah mengalami lonjakan popularitas selama setahun terakhir, ini adalah contoh langka dari grup yang mengabaikan permintaan tebusan dan menawarkan akses ke infrastruktur TI – tetapi kita mungkin melihat serangan peniru pada tahun 2022 dan seterusnya,” kata laporan itu.
Amerika Utara dan Eropa adalah wilayah dengan serangan terbanyak, tambah NCC Group.
Conti pada Comeback
Sementara itu, prevalensi Kelompok berbahasa Rusia Conti turun 9,1 persen. Tapi itu kemungkinan akan dibuat pada bulan Desember dengan pengumuman bahwa kelompok ancaman adalah penyerang ransomware profesional pertama yang datang dengan rantai serangan bersenjata lengkap terhadap kerentanan Log4Shell. Keuntungan
Conti, menurut laporan AdvIntel dari minggu lalu, adalah ukuran: Grup “memainkan peran khusus dalam lanskap ancaman saat ini, terutama karena skalanya.”