Protect your System Amigo: Anglikanische Elite-Internate statt nur Großkonzerne

Fällt das Stichwort "Ransomware-Angriffe", ist man gedanklich schnell bei großen Logistikunternehmen, Supermarktketten oder dem Hack der Colonial Pipeline in den USA. Was einem eher nicht sofort einfällt, sind argentinische Kindertagesstätten, Freimaurer aus Florida oder anglikanische Elite-Internate in Afrika. Genau solche Ziele greift die außerhalb der Szene eher weniger bekannte PYSA-Gruppierung bevorzugt an.

PYSA steht für "Protect Your System Amigo". Diesen Spruch platziert die Gruppe als markanten, humoristischen und einprägsamen Schlusssatz in ihren Erpresserbriefen. Nicht nur in diesen Erpresserschreiben unterscheidet sich PYSA von anderen aktiven Gruppen wie Lockbit oder Conti, die eher weniger Humor in ihren Formulierungen zeigen.

PYSA ist schon jahrelang aktiv. Ihr wahrscheinlich erster Hack führt nach Südafrika, zu einem exklusiven anglikanischen Internat, das St. Andrew's College. 1855 von John Armstrong, dem ersten Bischof von Grahamstown, gegründet, sieht sich diese Bildungseinrichtung als Kaderschmiede, die immer noch ein Kadettenkorps und einen Alchemistenclub zu bieten hat.

Das College ist das erste Opfer auf PYSAs Leak-Seite, was wahrscheinlich nicht nur mit Zufall oder mangelnden Security-Kenntnissen der Schul-IT zu erklären ist. Denn dieser erste Hack markiert den Beginn von PYSAs Obsession mit (frei-)kirchlichen Bildungseinrichtungen, Eliteschulen, christlichen Internaten, elitären und teilweise obskuren Vereinigungen.

Die Bandbreite ist groß: von einem winzigen Islamzentrum über eine portugiesische christliche Privatklinik und eine kleine argentinische methodistische Kinderbetreuungseinrichtung bis hin zu einer Freimaurervereinigung in den USA.

Tatsächlich unterscheidet sich PYSA von den meisten anderen Akteuren auch dadurch, dass ihre Zielpräferenzen sich nicht gänzlich mit finanzieller Motivation begründen lassen.

Weltweit Eliteschulen angreifen

Wertet man die Ziele, die von PYSA aufgelistet werden, anhand ihrer Leaks aus, so ergibt sich auf den ersten Blick ein übliches Bild. Nach Sichtung und Auswertung von über 100 Hacks/Leaks verteilen sich diese hauptsächlich auf den nord- und südamerikanischen sowie europäischen Raum. Dieses Bild zeigt sich bei vielen Ransomware-Akteuren und kann geopolitisch, finanziell oder schlicht mit der Sprachbarriere im russischen, chinesischen und arabischen Raum begründet sein.

Neben großen Zielen wie Transportunternehmen, IT-Dienstleistern oder Stahlherstellern finden sich immer wieder kleine Schulen, winzige private Vereinigungen mit elitärem Anstrich und obskure religiöse oder private Bildungseinrichtungen. Je nach Kategorisierung machen diese zwischen 20 und 30 Prozent aller von PYSA getroffenen Ziele aus und sie finden sich weltweit.

So griff PYSA beispielsweise im selben Zeitraum den bereits erwähnten Stahlhersteller und die Honourable Artillery Company, eine prestigeträchtige Organisation in London, an. Also die Leute, die gerne mit Bärenfellmützen Wache stehen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Während im Normalfall die Daten der Opfer einfach unkommentiert oder nur mit einer kurzen Zusammenfassung zu Inhalt und Menge des Leaks auf der Seite platziert werden, bekommen manche Ziele noch eine persönliche Botschaft. Dies ist auffällig oft der Fall, wenn es sich um die Lieblingsziele von PYSA handelt. So wird der Leak eines US-amerikanischen Schuldistrikts süffisant mit dem Zitat einer verantwortlichen Person versehen:

"We do not believe any sensitive information has been accessed and no personal data, financial information, or grades have been found to be compromised."

("Wir gehen nicht davon aus, dass Zugang zu vertraulichen Informationen bestand und wir haben keine Hinweise, dass persönliche Daten, Finanzdaten oder Noten kompromittiert wurden.")

Direkt darunter werden jedoch genau diese Informationen zum Download angeboten. Hier hat sich PYSA also die Reaktionen angesehen und wörtliche Zitate sowie weiterführende Links zu dem Leak hinzugefügt. So viel Aufmerksamkeit wurde dem Hack des Stahlherstellers nicht zuteil, man hat fast den Eindruck: Das eine ist Business, das andere ist persönlicher.