Protect your System Amigo: Anglikanische Elite-Internate statt nur Großkonzerne

Unter den Ransomware-Akteuren ist PYSA eine besondere Gruppe. Sie versieht Angriffe mit persönlichen Botschaften und attackiert oft religiöse und Elite-Institutionen.

Ein Bericht von Michael Gschwender veröffentlicht am
PYSA kommt sehr oldschool daher.
PYSA kommt sehr oldschool daher. (Bild: Namco)

Fällt das Stichwort "Ransomware-Angriffe", ist man gedanklich schnell bei großen Logistikunternehmen, Supermarktketten oder dem Hack der Colonial Pipeline in den USA. Was einem eher nicht sofort einfällt, sind argentinische Kindertagesstätten, Freimaurer aus Florida oder anglikanische Elite-Internate in Afrika. Genau solche Ziele greift die außerhalb der Szene eher weniger bekannte PYSA-Gruppierung bevorzugt an.

Inhalt:
  1. Protect your System Amigo: Anglikanische Elite-Internate statt nur Großkonzerne
  2. Die Freimaurer hacken
  3. All your base are belong to us

PYSA steht für "Protect Your System Amigo". Diesen Spruch platziert die Gruppe als markanten, humoristischen und einprägsamen Schlusssatz in ihren Erpresserbriefen. Nicht nur in diesen Erpresserschreiben unterscheidet sich PYSA von anderen aktiven Gruppen wie Lockbit oder Conti, die eher weniger Humor in ihren Formulierungen zeigen.

  • Eine (etwas ältere) PYSA-Erpresser-Note (Screenshot: Michael Gschwender)
  • Weltkarte mit Zielen, in Excel aus einer Auswertung der Leaks erstellt (Quelle: Michael Gschwender)
  • Leak des US-Schuldistrikts (Screenshot: Michael Gschwender)
  • Webseite der Freimaurer in Florida (Screenshot: Michael Gschwender von https://www.grandlodgefl.com/)
  • Reichlich oldschool: PYSA (Screenshot: Michael Geschwender)
Eine (etwas ältere) PYSA-Erpresser-Note (Screenshot: Michael Gschwender)

PYSA ist schon jahrelang aktiv. Ihr wahrscheinlich erster Hack führt nach Südafrika, zu einem exklusiven anglikanischen Internat, das St. Andrew's College. 1855 von John Armstrong, dem ersten Bischof von Grahamstown, gegründet, sieht sich diese Bildungseinrichtung als Kaderschmiede, die immer noch ein Kadettenkorps und einen Alchemistenclub zu bieten hat.

Das College ist das erste Opfer auf PYSAs Leak-Seite, was wahrscheinlich nicht nur mit Zufall oder mangelnden Security-Kenntnissen der Schul-IT zu erklären ist. Denn dieser erste Hack markiert den Beginn von PYSAs Obsession mit (frei-)kirchlichen Bildungseinrichtungen, Eliteschulen, christlichen Internaten, elitären und teilweise obskuren Vereinigungen.

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Hays AG, Witten
  2. IT-Systemadministrator (m/w/d) für Software-Paketierung & -Verteilung
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

Die Bandbreite ist groß: von einem winzigen Islamzentrum über eine portugiesische christliche Privatklinik und eine kleine argentinische methodistische Kinderbetreuungseinrichtung bis hin zu einer Freimaurervereinigung in den USA.

Tatsächlich unterscheidet sich PYSA von den meisten anderen Akteuren auch dadurch, dass ihre Zielpräferenzen sich nicht gänzlich mit finanzieller Motivation begründen lassen.

Weltweit Eliteschulen angreifen

Wertet man die Ziele, die von PYSA aufgelistet werden, anhand ihrer Leaks aus, so ergibt sich auf den ersten Blick ein übliches Bild. Nach Sichtung und Auswertung von über 100 Hacks/Leaks verteilen sich diese hauptsächlich auf den nord- und südamerikanischen sowie europäischen Raum. Dieses Bild zeigt sich bei vielen Ransomware-Akteuren und kann geopolitisch, finanziell oder schlicht mit der Sprachbarriere im russischen, chinesischen und arabischen Raum begründet sein.

  • Eine (etwas ältere) PYSA-Erpresser-Note (Screenshot: Michael Gschwender)
  • Weltkarte mit Zielen, in Excel aus einer Auswertung der Leaks erstellt (Quelle: Michael Gschwender)
  • Leak des US-Schuldistrikts (Screenshot: Michael Gschwender)
  • Webseite der Freimaurer in Florida (Screenshot: Michael Gschwender von https://www.grandlodgefl.com/)
  • Reichlich oldschool: PYSA (Screenshot: Michael Geschwender)
Weltkarte mit Zielen, in Excel aus einer Auswertung der Leaks erstellt (Quelle: Michael Gschwender)

Neben großen Zielen wie Transportunternehmen, IT-Dienstleistern oder Stahlherstellern finden sich immer wieder kleine Schulen, winzige private Vereinigungen mit elitärem Anstrich und obskure religiöse oder private Bildungseinrichtungen. Je nach Kategorisierung machen diese zwischen 20 und 30 Prozent aller von PYSA getroffenen Ziele aus und sie finden sich weltweit.

So griff PYSA beispielsweise im selben Zeitraum den bereits erwähnten Stahlhersteller und die Honourable Artillery Company, eine prestigeträchtige Organisation in London, an. Also die Leute, die gerne mit Bärenfellmützen Wache stehen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Während im Normalfall die Daten der Opfer einfach unkommentiert oder nur mit einer kurzen Zusammenfassung zu Inhalt und Menge des Leaks auf der Seite platziert werden, bekommen manche Ziele noch eine persönliche Botschaft. Dies ist auffällig oft der Fall, wenn es sich um die Lieblingsziele von PYSA handelt. So wird der Leak eines US-amerikanischen Schuldistrikts süffisant mit dem Zitat einer verantwortlichen Person versehen:

"We do not believe any sensitive information has been accessed and no personal data, financial information, or grades have been found to be compromised."

("Wir gehen nicht davon aus, dass Zugang zu vertraulichen Informationen bestand und wir haben keine Hinweise, dass persönliche Daten, Finanzdaten oder Noten kompromittiert wurden.")

Direkt darunter werden jedoch genau diese Informationen zum Download angeboten. Hier hat sich PYSA also die Reaktionen angesehen und wörtliche Zitate sowie weiterführende Links zu dem Leak hinzugefügt. So viel Aufmerksamkeit wurde dem Hack des Stahlherstellers nicht zuteil, man hat fast den Eindruck: Das eine ist Business, das andere ist persönlicher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
  • Eine (etwas ältere) PYSA-Erpresser-Note (Screenshot: Michael Gschwender)
  • Weltkarte mit Zielen, in Excel aus einer Auswertung der Leaks erstellt (Quelle: Michael Gschwender)
  • Leak des US-Schuldistrikts (Screenshot: Michael Gschwender)
  • Webseite der Freimaurer in Florida (Screenshot: Michael Gschwender von https://www.grandlodgefl.com/)
  • Reichlich oldschool: PYSA (Screenshot: Michael Geschwender)
Leak des US-Schuldistrikts (Screenshot: Michael Gschwender)
Die Freimaurer hacken 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Liberty Lifter
US-Militär lässt ein eigenes Ekranoplan entwickeln

In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
Artikel
  1. Abo: Spielebranche streitet über Game Pass
    Abo
    Spielebranche streitet über Game Pass

    Nach Kritik von Sony gibt es mehr Stimmen aus der Spielebranche, die Game Pass problematisch finden - aber auch klares Lob für das Abo.

  2. Microsoft: Der Android-App-Store für Windows 11 kommt nach Deutschland
    Microsoft
    Der Android-App-Store für Windows 11 kommt nach Deutschland

    Build 2022 Der Microsoft Store soll noch attraktiver werden. So können Kunden ihre Apps künftig ohne lange Wartezeiten direkt veröffentlichen.

  3. Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
    "Macht mich einfach wahnsinnig"
    Kelber beklagt digitale Inkompetenz von VW

    Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller (alle Farben) günstig wie nie: 49,99€ • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Samsung schenkt 19% MwSt.[Werbung]
    •  /