Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Pysa
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Pysa
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Pysa

Pysa is a ransomware that was first used in October 2018 and has been seen to target particularly high-value finance, government and healthcare organizations.(Citation: CERT-FR PYSA April 2020)
ID: S0583
Associated Software: Mespinoza
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 01 Mar 2021
Last Modified: 27 Apr 2021

Associated Software Descriptions
Name Description
Mespinoza (Citation: CERT-FR PYSA April 2020)(Citation: DFIR Pysa Nov 2020)(Citation: NHS Digital Pysa Oct 2020)

Techniques Used
Domain ID Name Use
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

Pysa has used Powershell scripts to deploy its ransomware.(Citation: CERT-FR PYSA April 2020)

.006 Command and Scripting Interpreter: Python

Pysa has used Python scripts to deploy ransomware.(Citation: CERT-FR PYSA April 2020)

Enterprise T1562 .001 Impair Defenses: Disable or Modify Tools

Pysa has the capability to stop antivirus services and disable Windows Defender.(Citation: CERT-FR PYSA April 2020)

Enterprise T1070 .004 Indicator Removal: File Deletion

Pysa has deleted batch files after execution. (Citation: CERT-FR PYSA April 2020)

Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

Pysa has executed a malicious executable by naming it svchost.exe.(Citation: CERT-FR PYSA April 2020)
Enterprise T1003 .001 OS Credential Dumping: LSASS Memory

Pysa can perform OS credential dumping using Mimikatz.(Citation: CERT-FR PYSA April 2020)
Enterprise T1021 .001 Remote Services: Remote Desktop Protocol

Pysa has laterally moved using RDP connections.(Citation: CERT-FR PYSA April 2020)

Enterprise T1569 .002 System Services: Service Execution

Pysa has used PsExec to copy and execute the ransomware.(Citation: CERT-FR PYSA April 2020)
Enterprise T1552 .001 Unsecured Credentials: Credentials In Files

Pysa has extracted credentials from the password database before encrypting the files.(Citation: CERT-FR PYSA April 2020)

References

  1. CERT-FR. (2020, April 1). ATTACKS INVOLVING THE MESPINOZA/PYSA RANSOMWARE. Retrieved March 1, 2021.
  2. THe DFIR Report. (2020, November 23). PYSA/Mespinoza Ransomware. Retrieved March 17, 2021.
  3. NHS Digital. (2020, October 10). Pysa Ransomware: Another 'big-game hunter' ransomware. Retrieved March 17, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.