Die Freimaurer hacken

Viele der Lieblingsziele von PYSA haben nicht die finanziellen Mittel, um relevante Lösegeldsummen zu bezahlen. Betrachtet man dazu die erfolgreichen Angriffe auf große Unternehmen, die bestätigterweise hohe Lösegeldsummen an PYSA gezahlt haben, drängen sich Fragen auf, über die sich wegen der Schweigsamkeit der Gruppe aber nicht einmal spekulieren lässt. Etwa, warum sie so versessen auf Angriffe auf aus finanzieller Sicht kaum lohnende Ziele ist. Oder woher der Fokus gerade auf Schulen, religiöse und vermeintlich elitäre Einrichtungen kommt.

Stellenmarkt
  1. Software Developer (d/m/w) - Firmware
    OSRAM GmbH, Paderborn
  2. Softwareentwickler (w/m/d) .NET
    HAUX-LIFE-SUPPORT GmbH, Karlsbad
Detailsuche

Ein skurriles Beispiel dazu ist die eingangs erwähnte Freimaurerveinigung aus Florida, genauer gesagt The Most Worshipful Grand Lodge of Free & Accepted Masons of Florida. Ihr widmet PYSA besondere Aufmerksamkeit, die Gruppe zitiert einen Beschreibungstext der Freimaurer:

  • Eine (etwas ältere) PYSA-Erpresser-Note (Screenshot: Michael Gschwender)
  • Weltkarte mit Zielen, in Excel aus einer Auswertung der Leaks erstellt (Quelle: Michael Gschwender)
  • Leak des US-Schuldistrikts (Screenshot: Michael Gschwender)
  • Webseite der Freimaurer in Florida (Screenshot: Michael Gschwender von https://www.grandlodgefl.com/)
  • Reichlich oldschool: PYSA (Screenshot: Michael Geschwender)
Webseite der Freimaurer in Florida (Screenshot: Michael Gschwender von https://www.grandlodgefl.com/)

"The Masonic Home of Florida is situated on 18 acres of lush landscaping on the shores of Coffee Pot Bayou. Named by Spanish explorers, this picturesque inlet off Old Tampa Bay is surrounded by the finest neighborhoods in the area and close to major shopping centers and dining in Downtown St. Petersburg."

("Das Masonic Home of Florida befindet sich auf einem 18 Hektar großen, üppig bepflanzten Gelände am Ufer der Coffee Pot Bayou. An dieser malerischen Nebenbucht der Old Tampa Bay, die von spanischen Entdeckern benannt wurde, liegen die schönsten Viertel der Gegend sowie die großen Einkaufszentren und Restaurants im Zentrum von St. Petersburg.")

Golem Karrierewelt
  1. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
  2. Linux-Systeme absichern und härten: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

Und ergänzt den Leak dazu mit dem Kommentar:

"Our partners provide you with their transaction history, invoices and bank documents for viewing."

("Unsere Partner stellen Ihnen ihre Transaktionsverläufe, Rechnungen und Bankunterlagen zur Einsicht zur Verfügung.")

Spezielle Amigos

Das gängige Schema für Ransomware-Gangs ist nach dem initialem Eindringen, sich im System auszubreiten, möglichst schnell die Kontrolle zu übernehmen, Backups zu identifizieren und nach einer kurzen Daten-Exfiltration (zum Beispiel von Quartalsberichten) mit dem Verschlüsseln und Erpressen zu beginnen. From Zero To Hero, oder eher von User To Dom-Admin.

Die PYSA-Gruppe hingegen hat ihre ganz eigenen Vorlieben. Statt hauptsächlich auf gängige Tools wie Cobalt Strike oder Empire zurückzugreifen, arbeitet PYSA lieber manuell. Dazu schiebt sie gerne ihre eigenen Powershell-Skripte auf die Maschinen ihrer "Partner", wie PYSA die Opfer der Angriffe ironisch nennt.

Daten werden gerne auch direkt über RDP getauscht. Bei der Persistenz setzt PYSA auf Koadic und Scheduled Tasks.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Neben den üblichen bekannten Methoden, um an Passwörter im System zu gelangen, wie LSASS-Dumps oder Mimikatz, erstellt PYSA auch gerne eine shadow copy des ntds.dit-File auf dem Domain Controller. Diese Datei enthält unter anderem Hashes der Nutzer-Passwörter.

Das ist spannend, denn an dem Punkt hat PYSA ja schon die volle Kontrolle über das Netzwerk erlangt und kann eigentlich mit dem Verschlüsseln beginnen - was interessiert da noch, welches Passwort ein einzelner Nutzer-Account hat?

Aber PYSA ist da sehr speziell. In mindestens einem Fall beginnt der Angriff sogar damit, dass sich PYSA direkt als Dom-Admin per RDP anmeldet und von dort aus einzelne Nutzer-Accounts ausliest - also eigentlich die genau umgekehrte Richtung, die man normalerweise gehen würde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Protect your System Amigo: Anglikanische Elite-Internate statt nur GroßkonzerneAll your base are belong to us 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  3. Cerebras WSE-2: München verbaut riesigen KI-Chip
    Cerebras WSE-2
    München verbaut riesigen KI-Chip

    Als erster Standort in Europa hat das Leibniz-Rechenzentrum (LRZ) ein CS-2-System mit Cerebras' WSE-2 gekauft, welches effizient und schnell ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /