Analisis PYSA Ransomware Bongkar Taktik Cybercriminal

Analisis PYSA Ransomware - Sebuah penelitian mendalam selama 18 bulan terhadap operasi PYSA ransomware telah membawa para peneliti ke dalam dunia kelam kartel cybercrime. Mulai Agustus 2020, kelompok ini mengikuti siklus pengembangan perangkat lunak 5 tahap, dengan fokus utama pada fitur untuk meningkatkan efisiensi aktivitas mereka.

PYSA, singkatan dari "Protect Your System, Amigo," muncul pada Desember 2019 sebagai penerus Mespinoza ransomware. Pada kuartal keempat tahun 2021, PYSA menjadi jenis ransomware paling umum ketiga yang terdeteksi. Kelompok ini secara hati-hati menyelidiki target bernilai tinggi sebelum meluncurkan serangan, mengancam perusahaan dan sektor-sektor seperti pemerintah, kesehatan, dan pendidikan.

Kelompok ini menggunakan strategi pemerasan ganda dengan metode "perburuan besar". Jika korban menolak memenuhi tuntutan, informasi yang dicuri akan diungkapkan. Setiap file yang memenuhi syarat dienkripsi dan diberi ekstensi ".pysa", dengan dekripsi memerlukan RSA private key yang hanya dapat diakses setelah membayar uang tebusan. Lebih dari 58% korban PYSA ransomware telah melakukan pembayaran digital.

Infrastruktur Jaringan Pysa Ransomware

Berdasarkan riset, penulis proyek PYSA ransomware diidentifikasi sebagai "dodo@mail.pcc". Sebanyak 11 akun mengendalikan operasi, dengan empat di antaranya (t1, t3, t4, dan t5) menyumbang lebih dari 90% aktivitas di panel administratif kelompok. Kelemahan keamanan operasional memungkinkan identifikasi layanan tersembunyi di jaringan anonimitas TOR.

Timeline Aktivitas Pysa Ransomware

Infrastruktur PYSA mencakup kontainer docker, server kebocoran publik, server database, dan server administrasi. Cloud Amazon S3 digunakan untuk menyimpan file terenkripsi. Panel administratif menggunakan sistem kontrol versi Git dan ditulis dalam PHP 7.3.12 dengan framework Laravel. Panel ini memiliki API endpoint untuk membuat daftar, mengunduh, dan menganalisis file dengan pencarian teks lengkap.

Penelitian menunjukkan bahwa kelompok ransomware seperti PYSA ransomware dan Conti ransomware beroperasi dan terstruktur seperti perusahaan perangkat lunak sah. Mereka bahkan memiliki departemen SDM untuk merekrut dan mengelola anggota baru. Selain itu, penghargaan "karyawan bulan ini" digunakan untuk mengatasi tantangan yang sulit.

Melihat perkembangan ini, penting bagi organisasi dan individu untuk meningkatkan cybersecurity awareness. Salah satu langkah kunci adalah menggunakan alat dekripsi ransomware untuk mengatasi dampak ransomware seperti PYSA, Conti, dan LockBit. Dengan memahami cara mengembalikan file yang terkena ransomware, kita dapat melawan ancaman ini dengan lebih efektif.