Af Eskil Sørensen, 30/08/21
Et kig ned i et PowerShell-script, der bruges af Pysa-ransomware-gruppen, viser hvilke typer data, der forsøges stjålet under et cyberangreb. Det skriver Bleeping Computers journalist Lawrence Adams i en interessant og lærerig artikel, efter at han har fået adgang til scriptet fra MalwareHunterTeam.
MalwareHunterTeam driver en gratis hjemmeside, ID Ransomware, der hjælper ofre med at identificere, hvilken type ransomware der kan have krypteret deres filer. Ifølge https://malwarehunterteam.com/ er servicen i stand til at identificere mere end 600 ransomware-typer ved hjælp af forskellige teknikker.
Cluet er, at hvis ransomware på et offers netværk kan identificeres af ID Ransomware-servicen, vil den kunne give offeret en status på, om filerne er dekrypterbare eller ej. Og i givet fald kan et offer få fremsendt et link til en 'troværdig kilde for mere information'.
MalwareHunterTeam ved med andre ord, hvad de taler om.
Scanner ud fra søgeord
Det omtalte PowerShell-script, der blev brugt af Pysa-ransomware, er designet til at scanne hvert drev efter datamapper, hvis navne matcher bestemte strenge på en enhed. Hvis en mappe matcher søgekriterierne, uploader scriptet mappens filer til en ekstern drop-server, som kontrolleres af trusselsaktoren, dvs. ransomwaregruppen.
Scriptet indeholder 123 søgeord, som viser, hvad gruppen kigger efter: Filer med finansielle eller personlige oplysninger, fx revision, bankoplysninger, loginoplysninger, skatteoplysninger, personnumre mm. Dette bruger ransomwaregruppen til at vurdere, hvor stor løsesummen skal være.
Men der ledes ifølge Bleeping Computer også efter mapper, der indeholder ordene 'kriminalitet', 'efterforskning', 'bedrageri', 'bureau', 'føderal', 'skjult', 'hemmelig', 'ulovlig' og 'terror'. Dette kan bruges til at vide, hvad det er for typer data som virksomheden gemmer på og som kan være interessante at låse og evt. lække, hvis virksomheden ikke betaler løsesummen.
Den fulde liste over 123 søgeord fremgår af artiklen.
Ifølge Bleeping Computer giver det ikke meget mening at ændre navnene på mapperne, så de ikke indeholder de pågældende ord. Trusselsaktørerne vil sandsynligvis ’sweepe’ data manuelt. Men som det fremgår, så giver det information om, hvilke typer data en ransomwaregruppe søger efter og de potentielle ofre en indikation af, hvordan de forsøges afpresset.