All your base are belong to us

Dieses Vorgehen hat für PYSA wahrscheinlich den Sinn, dass sich durch Geschäftspartner, Dienstleister oder Service-Beziehungen hier oft ein weites Einfallstor in ein anderes Unternehmen auftut. Solche Accounts finden sich aber eigentlich immer auf individuellen Workstations und eher nicht in der Domäne, beispielsweise in Support- oder Vertriebsabteilungen. PYSA denkt also beim Hacken schon an den nächsten Hack. Alles wird mitgenommen, was nach Account aussieht.

Stellenmarkt
  1. IT-Mitarbeiter im First-Level-Support (m/w/d)
    UKM - Universitätsklinikum Düsseldorf Medical Services GmbH, Düsseldorf
  2. SAP Basis Berater (m/w/x)
    über duerenhoff GmbH, Raum Hamburg
Detailsuche

Es sieht so aus, als habe PYSA dadurch beispielsweise unter anderem ein ganzes Netzwerk an Unternehmen im Gesundheitssektor infiltrieren können - von der privaten Klinik bis zu einem Unternehmen für medizinische Bildgebung. Bei Letzterem hatte PYSA wohl Zugriff auf fast eine Viertelmillion Patientendaten und kommentiert dazu ganz treffend in der üblichen Manier:

"If your mom went to examine her mammary glands to our good partners, then we already know everything about her and about many others who used the services of this company."

("Wenn Ihre Mutter zu unseren zuverlässigen Partnern gegangen ist, um ihre Brustdrüsen untersuchen zu lassen, wissen wir bereits alles über sie und über viele andere, die die Dienste dieses Unternehmens in Anspruch genommen haben.")

Golem Akademie
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

PYSA hat einen eigenen Stil, nicht nur beim Vorgehen oder bei der Zielauswahl. Man kann das auch am Logo erkennen, einer sehr speziellen Mischung, die Erinnerungen an alte DOS-Zeiten, ASCII-Art und Speedy Gonzalez wach werden lässt.

Während andere Akteure fast schon modern unternehmerisch auftreten, mit trendigem Webdesign, Code-of-Conduct und direkter Chatmöglichkeit, kommt PYSA sehr oldschool daher. Kommuniziert wird nur über Protonmail oder Onion-Mail. Es wird nicht aktiv nach Affiliates gesucht, es werden auch keine Interviews mit US-amerikanischen Thread-Analysten gemacht oder viel in Szeneforen gepostet.

Die Oldschool-Schnubbi-Hacker

PYSA verhält sich sehr schmallippig. Wenn die Gruppe Kommentare veröffentlicht, sind sie oft in ironischer, satirischer und absichtlich schlechter Grammatik gehalten und erinnern manchmal an den Meme-Sprech der Shadowbroker-Veröffentlichungen.

"These partners have made sure to provide you with full information about yourself. Their IT department tried to give you all the data about themselves for which we say thank you very much. They have prepared invoices for you.... Our old friends. Lovely province in the south of the French coast. Our cooperation has been very long and productive. And this was the reason to tell us more about our comrades ..."

("Diese Partner sorgen dafür, dass Sie umfassende Informationen über sich selbst erhalten. Ihre IT-Abteilung hat versucht, Ihnen alle Daten über sich selbst zur Verfügung zu stellen, wofür wir uns herzlich bedanken. Sie haben Rechnungen für Sie vorbereitet ... Unsere alten Freunde. Wunderschöne Region an der südfranzösischen Küste. Wir arbeiten schon sehr lange und gut zusammen. Das war der Grund, uns mehr über unsere Mitstreiter zu erzählen ...")

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Während bei Lockbit 2.0 ein Countdown bis zur Veröffentlichung von Leaks eines einzelnen Hacks angezeigt wird, der sekundengenau abläuft, lässt sich PYSA gerne auch mal sechs Monate Zeit, bis der entsprechende Eintrag online gestellt wird. Man muss ja nicht alle modernen Trends des schnelllebigen, digitalen Zeitalters mitgehen.

Die Daten selbst finden sich teilweise direkt auf einer Leak-Seite oder werden von dort über Filehoster-Links hinterlegt. Wenn sie nicht mehr erreichbar sind oder vom entsprechenden Hoster gelöscht werden, scheint das PYSA nicht die Spur zu interessieren. Selbst schuld, wer sich auf die Cloud verlässt und nicht die Daten direkt zieht. PYSA jedenfalls stellt keinen neuen Link bereit.

  • Eine (etwas ältere) PYSA-Erpresser-Note (Screenshot: Michael Gschwender)
  • Weltkarte mit Zielen, in Excel aus einer Auswertung der Leaks erstellt (Quelle: Michael Gschwender)
  • Leak des US-Schuldistrikts (Screenshot: Michael Gschwender)
  • Webseite der Freimaurer in Florida (Screenshot: Michael Gschwender von https://www.grandlodgefl.com/)
  • Reichlich oldschool: PYSA (Screenshot: Michael Geschwender)
Reichlich oldschool: PYSA (Screenshot: Michael Geschwender)

Gerade aktuell hat PYSA auf einen Schlag eine sehr große Liste neuer "Partner" veröffentlicht, allerdings noch ohne die entsprechenden Leaks oder weitere Informationen. Aus welchen Zeiträumen die Liste genau stammt, wird sich noch zeigen. Darunter finden sich aber erneut PYSAs Lieblingsziele wie evangelikale Schulen oder elitär anmutende Organisationen. Die Amigos bleiben sich also Troy.

Michael Gschwender ist Cyber Security Specialist und beschäftigt sich beruflich mit der Ransomware-Szene.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Die Freimaurer hacken
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Halbleiter & SMIC
Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
Artikel
  1. Google: Russland will Youtube aus Selbstschutz nicht blockieren
    Google
    Russland will Youtube aus Selbstschutz nicht blockieren

    Die zahlreichen Drohungen der russischen Zensurbehörde zur Blockade von Youtube werden wohl nicht umgesetzt. Die Auswirkungen wären zu stark.

  2. Arclight Rumble: Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!
    Arclight Rumble
    Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!

    Golem.de hat es gespielt: Arclight Rumble entpuppt sich als gelungenes Mobile Game - aber wie ein echtes Warcraft fühlt es sich nicht an.
    Von Peter Steinlechner

  3. Biontech: Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen
    Biontech
    Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen

    In Mainz ist Biontech beheimatet, was die Steuereinnahmen explodieren lässt. Mit dem Geld wird nun ein 365-Euro-Jahresticket für Schüler und Azubis finanziert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /