Сценарий PowerShell, используемый операцией вымогателя Pysa, дает нам возможность взглянуть на типы данных, которые они пытаются украсть во время кибератаки.
Когда банды вымогателей взламывают сеть, они обычно начинают с ограниченного доступа к одному устройству.
Затем они используют различные инструменты и эксплойты для кражи других учетных данных, используемых в домене Windows, или получения повышенных прав на разных устройствах.
Получив доступ к контроллеру домена Windows, они ищут и крадут данные в сети перед шифрованием устройств.
Злоумышленники используют украденные данные двумя способами.
Первый - создать спрос на выкуп, основанный на доходах компании и наличии у них страховых полисов. Второй - запугать жертв, заставив их заплатить выкуп, потому что банда утекнет данные.
Поиск ценных данных
Вчера команда MalwareHunterTeam поделилась сценарием PowerShell с BleepingComputer, используемым операцией вымогателя Pysa для поиска и эксфильтрации данных с сервера.Этот сценарий разработан для сканирования каждого диска на предмет папок с данными, имена которых соответствуют определенным строкам на устройстве. Если папка соответствует критериям поиска, сценарий загрузит файлы папки на удаленный сервер перетаскивания под управлением злоумышленника.
Особый интерес представляют 123 ключевых слова, которые ищет сценарий, которые дают нам представление о том, что банда вымогателей считает ценным.
Как и следовало ожидать, скрипт ищет файлы, связанные с финансовой или личной информацией компании, такие как аудит, банковская информация, учетные данные, налоговые формы, информация о студентах, номера социального страхования и документы SEC.
Однако он также ищет более интригующие ключевые слова, которые могут быть особенно вредными для компании в случае утечки, например папки, содержащие слова «преступление», «расследование», «мошенничество», «бюро», «федеральный», «скрытый», «секретный», «незаконный» и «террор».
Полный список из 123 ключевых слов, на которые ссылается скрипт злоумышленников, приведен в таблице ниже.
| 941 | уверенный | Информация | RRHH |
| 1040 | Преступление | инсайдер | экономия |
| 1099 | требовать | Страхование | сканирование |
| 8822 | Террор | изучение | сек |
| 9465 | Конфиденциально * Раскрытие информации | IRS | секрет |
| 401K | контакт | ЭТО ВНУТРИ | безопасность |
| 4506-Т | contr | К-1 | студент |
| ABRH | CPF | письмо | семя |
| Аудит | CRH | Список | Подписано |
| Адреса | Транзакция | Авторизоваться | грех |
| соглашаться | DDRH | Почта | soc |
| Соглашение * Раскрытие | Демог | NDA | SS# |
| ARH | Деталь | Онемевший | СС-4 |
| Назначение | Раскрытие * Соглашение | Партн | SSA |
| баланс | Раскрытие информации * Конфиденциально | заграничный пасспорт | SSN |
| банк | DRH | пароль | Staf |
| Выписка из банка | Emplo | пароль | утверждение |
| Бенеф | Зарегистрироваться | платить | Выписка * Банк |
| выставление счетов | федеральный | оплата | БЫСТРЫЙ |
| бюджет | Финан | платежная ведомость | налог |
| бюро | финансы | человек | Налогоплательщик |
| Brok | Форма | Телефон | несекретный |
| карта | мошенничество | Конфиденциальность | Продажа |
| наличные | правительство | приват | W-2 |
| CDA | скрытый | pwd | w-4 |
| проверка | Hir | Человеческие ресурсы | W-7 |
| тайный | HR | отчет | W-8BEN |
| сборник | Человек | Ресурс | w-9 |
| компромисс | i-9 | воскрешает * человека | W-9S |
| скрытый | незаконный | RHO | |
| доверять | важный | маршрутизация |
Нет смысла изменять имена папок, поэтому они не включают эти строки, поскольку злоумышленники, скорее всего, будут выполнять ручную очистку данных.
Однако знание того, какие типы данных ищет банда вымогателей, дает вам лучшее представление о том, как банды вымогателей будут пытаться вымогать у своих жертв.
Pysa - не единственный, кто ищет определенные файлы после взлома сети.
Ранее в этом месяце разгневанный филиал Conti опубликовал обучающие материалы по работе с программой-вымогателем.
В этом учебном материале аффилированным лицам предлагалось немедленно искать данные, содержащие следующие ключевые слова, после того, как они получили контроль над контроллером домена Windows.
Перевод - Google
Bleeping Computer
