• Pysa pertama kali muncul pada Oktober 2019, ketika perusahaan mulai melaporkan bahwa ransomware baru telah mengenkripsi server mereka.
Pada boot pertama, ransomware menggunakan ekstensi .locked untuk file terenkripsi dan diubah menjadi ekstensi .pysa pada November 2019.
• Dengan catatan tebusan yang dimulai dengan “Hai Perusahaan” dan korban juga melaporkan peretasan desktop jarak jauh, ransomware ini menargetkan jaringan perusahaan.
• Bagi mereka yang tertarik untuk membaca lebih lanjut tentang ransomware ini, CERT-FR memiliki laporan yang bagus tentang TTP-nya.
• Grup ini bertanggung jawab atas ransomware membuat situs kebocoran data yang disebut ‘Pysa Homepage’, tempat mereka memublikasikan file yang dicuri dari korban mereka jika uang tebusan tidak dibayarkan.
