Die Freimaurer hacken

Viele der Lieblingsziele von PYSA haben nicht die finanziellen Mittel, um relevante Lösegeldsummen zu bezahlen. Betrachtet man dazu die erfolgreichen Angriffe auf große Unternehmen, die bestätigterweise hohe Lösegeldsummen an PYSA gezahlt haben, drängen sich Fragen auf, über die sich wegen der Schweigsamkeit der Gruppe aber nicht einmal spekulieren lässt. Etwa, warum sie so versessen auf Angriffe auf aus finanzieller Sicht kaum lohnende Ziele ist. Oder woher der Fokus gerade auf Schulen, religiöse und vermeintlich elitäre Einrichtungen kommt.

Ein skurriles Beispiel dazu ist die eingangs erwähnte Freimaurerveinigung aus Florida, genauer gesagt The Most Worshipful Grand Lodge of Free & Accepted Masons of Florida. Ihr widmet PYSA besondere Aufmerksamkeit, die Gruppe zitiert einen Beschreibungstext der Freimaurer:

"The Masonic Home of Florida is situated on 18 acres of lush landscaping on the shores of Coffee Pot Bayou. Named by Spanish explorers, this picturesque inlet off Old Tampa Bay is surrounded by the finest neighborhoods in the area and close to major shopping centers and dining in Downtown St. Petersburg."

("Das Masonic Home of Florida befindet sich auf einem 18 Hektar großen, üppig bepflanzten Gelände am Ufer der Coffee Pot Bayou. An dieser malerischen Nebenbucht der Old Tampa Bay, die von spanischen Entdeckern benannt wurde, liegen die schönsten Viertel der Gegend sowie die großen Einkaufszentren und Restaurants im Zentrum von St. Petersburg.")

Und ergänzt den Leak dazu mit dem Kommentar:

"Our partners provide you with their transaction history, invoices and bank documents for viewing."

("Unsere Partner stellen Ihnen ihre Transaktionsverläufe, Rechnungen und Bankunterlagen zur Einsicht zur Verfügung.")

Spezielle Amigos

Das gängige Schema für Ransomware-Gangs ist nach dem initialem Eindringen, sich im System auszubreiten, möglichst schnell die Kontrolle zu übernehmen, Backups zu identifizieren und nach einer kurzen Daten-Exfiltration (zum Beispiel von Quartalsberichten) mit dem Verschlüsseln und Erpressen zu beginnen. From Zero To Hero, oder eher von User To Dom-Admin.

Die PYSA-Gruppe hingegen hat ihre ganz eigenen Vorlieben. Statt hauptsächlich auf gängige Tools wie Cobalt Strike oder Empire zurückzugreifen, arbeitet PYSA lieber manuell. Dazu schiebt sie gerne ihre eigenen Powershell-Skripte auf die Maschinen ihrer "Partner", wie PYSA die Opfer der Angriffe ironisch nennt.

Daten werden gerne auch direkt über RDP getauscht. Bei der Persistenz setzt PYSA auf Koadic und Scheduled Tasks.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Neben den üblichen bekannten Methoden, um an Passwörter im System zu gelangen, wie LSASS-Dumps oder Mimikatz, erstellt PYSA auch gerne eine shadow copy des ntds.dit-File auf dem Domain Controller. Diese Datei enthält unter anderem Hashes der Nutzer-Passwörter.

Das ist spannend, denn an dem Punkt hat PYSA ja schon die volle Kontrolle über das Netzwerk erlangt und kann eigentlich mit dem Verschlüsseln beginnen - was interessiert da noch, welches Passwort ein einzelner Nutzer-Account hat?

Aber PYSA ist da sehr speziell. In mindestens einem Fall beginnt der Angriff sogar damit, dass sich PYSA direkt als Dom-Admin per RDP anmeldet und von dort aus einzelne Nutzer-Accounts ausliest - also eigentlich die genau umgekehrte Richtung, die man normalerweise gehen würde.