【安全资讯】FBI警告：Pysa勒索软件针对教育机构的恶意活动有所增加

联邦调查局（FBI）网络部门发布警告称，针对教育机构的Pysa勒索软件活动正在不断增加。2020年3月，法国CERT网络安全机构警告说，新的勒索软件攻击针对了当地政府机构的网络。攻击者正在传播新版本的Pysa 勒索软件。

Pysa（又名Mespinoza）是一种勒索软件，可窃取泄露数据并加密用户的关键文件和系统数据。Pysa特别针对高等教育、K-12学校和神学院。攻击者使用PYSA勒索软件实行双重勒索模型， 先窃取受害者数据，再加密文件。 窃取的数据包括个人身份信息、工资税信息以及其他类型的数据，这些数据可用作强迫受害者在泄露被盗信息的威胁下支付赎金。

自 2020 年 3 月以来，Pysa勒索软件攻击了美国和外国政府实体，教育机构，私人公司以及医疗保健部门。Pysa的操作员通过破坏远程桌面协议（RDP）凭据，或通过网络钓鱼活动获得目标网络的未授权访问，从而部署勒索软件。攻击者使用扫描程序进行网络侦察，然后安装开源的漏洞利用工具，包括 PowerShell Empire，Koadic 和 Mimikatz，然後他们会执行指令停用受害者的防毒功能，再部署勒索软件。

接着，攻击者会使用开源工具WinSCP，继续加密所有的设备和数据，让用户无法使用文件、数据库、虚拟机器、备份和应用程序，并在用户的登入画面，显示详细的赎金讯息及如何联络攻击者的信息，如果他们未成功得到赎金，会显示数据将被上传至暗网贩卖。

在最近的攻击活动中，攻击者将窃取的数据上传到MEGA.NZ文件共享服务，在某些情况下，攻击者还在受害者的计算机安装MEGA客户端软件上传窃取数据。