El problema de la ciberseguridad del sector de la educación se ha agravado en los últimos meses. Una advertencia reciente del FBI, a mediados de marzo, notificó a las escuelas de los EE. UU. Y el Reino Unido sobre un aumento de los ataques de los actores de amenazas detrás del ransomware PYSA.

Si es la primera vez que oye hablar de esta familia, siga leyendo.

¿Qué es el ransomware PYSA?

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .lockedextensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

Según Intel 471, una empresa de inteligencia de amenazas, PYSA / Mespinoza es un operador de RaaS de nivel 2, ya que ha ido ganando reputación en el mundo subterráneo. Los operadores o equipos que hacen esto tienen una página, llamada «lista de filtraciones», donde nombran y avergüenzan a las víctimas que deciden no pagar el rescate. Las víctimas se enumeran con un archivo adjunto que contiene archivos que los actores de la amenaza extrajeron de ellos.

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

Luego, los actores de amenazas ejecutan manualmente el ransomware dentro de la red después de filtrar todos los datos que necesitan para aprovechar. Los archivos se cifran mediante AES implementado con claves cifradas RSA.

¿Quién ha sido atacado por PYSA?

Se sabe que PYSA se dirige a grandes organizaciones privadas y a aquellas que pertenecen a la industria de la salud. También han afectado a grupos gubernamentales en varios continentes. Recientemente, PYSA se ha utilizado cada vez más contra instituciones educativas en los EE. UU. Y el Reino Unido.

A continuación se muestra una lista no exhaustiva de incidentes relacionados con PYSA:

• En marzo de 2020, CERT Francia emitió una advertencia a los gobiernos locales franceses sobre el aumento de los ataques de PYSA.
• En mayo de 2020, MyBudget, la empresa de administración de dinero de Australia, experimentó una “interrupción” que duró 13 días (del 9 al 22 de mayo). Las filtraciones de datos extraídos llegaron al blog de PYSA. Posteriormente, la compañía confirmó a iTWire el 29 de mayo que la larga interrupción fue causada por un ataque de ransomware. Sin embargo, al mes siguiente, las fuentes notaron que el nombre y los archivos de MyBudget fueron eliminados del blog de PYSA, lo que llevó a algunos a especular que pudo haber pagado el rescate, a pesar de las garantías de que «no tenía intención de comprometerse con las demandas de rescate».
• En octubre de 2020, un “ciberataque grave” afectó al Hackney Council de Londres en el Reino Unido, dejándolo incapaz de procesar los pagos de las prestaciones de vivienda y provocando la caída de las compras de viviendas. Aunque al principio no hablaron de todo el incidente, se supo que los actores de la amenaza del ransomware PYSA estaban detrás del ataque después de filtrar los datos que extrajeron de la compañía en enero de 2021.

¿Malwarebytes detecta PYSA ransomware?

Estamos seguros de hacer. Detectamos es como Ransom.Mespinoza .

Indicadores de compromiso (IOC)

Hash SHA256:

• 7fd3000a3afbf077589c300f90b59864ec1fb716feba8e288ed87291c8fdf7c3
• e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• f0939ebfda6b30a330a00c57497038a54da359e316e0d6e6e71871fd50fec16a
• 48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3
• 0f0014669bc10a7d87472cafc05301c66516857607b920ddeb3039f4cb8f0a50
• 61bb42fe06b3511d512af33ef59baa295b29bd62eb4d0bf28639c7910a65e4ae
• 425945a93beb160f101d51de36363d1e7ebc45279987c3eaf5e7f183ed0a3776
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560
• 1a0ff707938a1399e23af000567806a87fff9b8789ae43badb4d28d4bef1fb81
• b1381635c936e8de92cfa26938c80a359904c1d709ef11ee286ba875cfb7b330

Archivo de nota de rescate, Readme.README, que incluye el siguiente contenido:

Hola compañia

Cada byte de cualquier tipo de dispositivo se cifró.
No intente utilizar copias de seguridad porque también están cifradas.

Para recuperar todos sus datos, comuníquese con nosotros:
{2 @ protonmail.com direcciones de correo electrónico}

————–

PREGUNTAS MÁS FRECUENTES:

1.

P: ¿Cómo puedo asegurarme de que no me engañas?

R: Puede enviarnos 2 archivos (máximo 2 MB).

2.

P: ¿Qué hacer para recuperar todos los datos?

R: No reinicie la computadora, no mueva archivos y escríbanos.

3.

P: ¿Qué decirle a mi jefe?

R: Protege tu sistema Amigo.

El 16 de marzo, la Oficina Federal de Investigaciones (FBI) emitió una alerta «Flash» sobre el ransomware PYSA después de un aumento en los ataques de este mes contra instituciones en el sector educativo, particularmente educación superior, K-12 y seminarios. Según la alerta [PDF], el Reino Unido y 12 estados de EE. UU. Ya se han visto afectados por esta familia de ransomware.

PYSA, también conocida como Mespinoza, se vio por primera vez en estado salvaje en octubre de 2019, donde se usó inicialmente contra grandes redes corporativas.

CERT Francia emitió una alerta hace un año sobre PYSA ampliando su alcance para incluir organizaciones gubernamentales francesas y otros gobiernos e instituciones fuera de Francia. PYSA fue categorizado como uno de los cazadores de caza mayor, uniéndose a las filas de Ryuk , Maze y Sodinokibi (REvil) . Los ataques de ransomware de «gran juego» se dirigen a organizaciones enteras, y los actores de amenazas operan su ransomware manualmente, después de pasar tiempo ingresando a las redes de una organización y realizando reconocimientos.

PYSA / Mespinoza puede llegar a las redes de las víctimas a través de campañas de phishing o mediante la fuerza bruta de las credenciales del Protocolo de escritorio remoto (RDP) para obtener acceso.

Antes de descargar y detonar la carga útil del ransomware, también se descubrió que los actores de amenazas detrás de este ransomware realizaban un reconocimiento de red utilizando herramientas de código abierto como Advanced Port Scanner y Advanced IP Scanner. También instalan otras herramientas similares, como Mimikatz, Koadic y PowerShell Empire (por nombrar algunas), para escalar privilegios y moverse lateralmente.

Los actores de la amenaza desactivan la protección de seguridad en la red, filtran archivos y cargan los datos robados en Mega.nz, un servicio de almacenamiento y uso compartido de archivos en la nube. Después de esto, PYSA se implementa y ejecuta. Todos los archivos cifrados en Windows y Linux, las dos plataformas a las que se dirige principalmente este ransomware, tendrán el .pysasufijo.

El informe del FBI también revela una posible táctica de doble extorsión que podría ocurrir contra las víctimas: “En incidentes anteriores, los ciber actores exfiltraron registros de empleo que contenían información de identificación personal (PII), información de impuestos sobre la nómina y otros datos que podrían usarse para extorsionar a las
víctimas para pagar un rescate «.

En los últimos seis meses, el FBI y otras organizaciones encargadas de hacer cumplir la ley han estado advirtiendo al sector educativo sobre una mayor actividad de amenazas contra ellos. Y esto no se limita solo a los ataques de ransomware. También entran en juego las campañas de phishing y la typosquatting de dominios .

La alerta «Flash» del FBI incluye estas mitigaciones recomendadas para objetivos potenciales.

Para prevenir ataques:

• Instale actualizaciones de seguridad para sistemas operativos, software y firmware tan pronto como se publiquen.
• Utilice la autenticación multifactor siempre que sea posible.
• Evite reutilizar contraseñas para diferentes cuentas e implemente el plazo más corto aceptable para los cambios de contraseña.
• Desactive los puertos RDP no utilizados y supervise el acceso remoto / registros RDP.
• Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso con los privilegios más bajos que pueda.
• Utilice software antivirus y antimalware actualizado en todos los hosts.
• Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
• Considere agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
• Deshabilite los hipervínculos en los correos electrónicos recibidos.
• Brindar a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como los riesgos emergentes de seguridad cibernética.

Para mitigar los efectos de un ataque:

• Realice copias de seguridad de los datos y utilice espacios vacíos y contraseñas para que los atacantes no puedan acceder a ellos.
• Utilice la segmentación de la red para dificultar el movimiento lateral.
• Implemente un plan de recuperación y mantenga varias copias de datos confidenciales o de propiedad en ubicaciones seguras, segmentadas y separadas físicamente.

El equipo de investigación de vulnerabilidades del navegador de Microsoft ha encontrado e informado una vulnerabilidad en el componente de audio de Google Chrome. Google ha solucionado esta vulnerabilidad de alta gravedad ( CVE-2021-21166 ) en su navegador Chrome y advierte a los usuarios de Chrome que existe un exploit en la naturaleza para la vulnerabilidad. No es la primera vez que un exploit ataca el componente de audio de Chrome.

No hay detalles disponibles

Los detalles adicionales sobre la vulnerabilidad están restringidos hasta que la mayoría de los usuarios de Chrome se hayan actualizado a la versión parcheada del software. Lo que sí sabemos es que se trata de un problema del ciclo de vida de un objeto en el componente de audio del navegador.

Un ciclo de vida de un objeto se utiliza en la programación orientada a objetos para describir el tiempo entre la creación de un objeto y su destrucción. Fuera del ciclo de vida, el objeto ya no es válido, lo que podría generar una vulnerabilidad.

Por ejemplo, si todo sale según lo planeado con el ciclo de vida, la cantidad correcta de memoria de la computadora se asigna y se recupera en los momentos adecuados. Si no funciona bien y la memoria está mal administrada, eso podría conducir a una falla, o vulnerabilidad, en el programa.

Más vulnerabilidades parcheadas en la actualización

Como es habitual, Google corrigió varias otras vulnerabilidades y errores en la misma actualización. Algunas de las otras vulnerabilidades se enumeraron con alta gravedad:

Google dijo que solucionó tres fallas de desbordamiento del búfer de pila en los componentes TabStrip ( CVE-2021-21159 , CVE-2021-21161 ) y WebAudio ( CVE-2021-21160 ). Se encontró un error de uso después de la liberación de alta gravedad ( CVE-2021-21162 ) en WebRTC. Otras dos fallas de alta gravedad incluyen un problema de validación de datos insuficientes en el modo de lectura ( CVE-2021-21163 ) y un problema de validación de datos insuficientes en Chrome para iOS ( CVE-2021-21164 ).

Los CVE

Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). Su objetivo es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).

• CVE-2021-21159, CVE-2021-21161: Desbordamiento del búfer de pila en TabStrip. Montón es el nombre de una región de la memoria de un proceso que se utiliza para almacenar variables dinámicas. Un desbordamiento de búfer es un tipo de vulnerabilidad de software que existe cuando un área de memoria dentro de una aplicación de software alcanza su límite de dirección y escribe en una región de memoria adyacente. En el código de explotación de software, dos áreas comunes que están destinadas a los desbordamientos son la pila y el montón.
• CVE-2021-21160: Desbordamiento del búfer de pila en WebAudio.
• CVE-2021-21162: Úselo después de forma gratuita en WebRTC. Use after free (UAF) es una vulnerabilidad debido al uso incorrecto de la memoria dinámica durante el funcionamiento de un programa. Si después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. WebRTC permite a los programadores agregar capacidades de comunicación en tiempo real a su aplicación.
• CVE-2021-21163: Validación de datos insuficiente en modo Lector. Una validación de datos insuficiente podría permitir a un atacante utilizar entradas especialmente diseñadas para manipular un programa.
• CVE-2021-21164: Validación de datos insuficiente en Chrome para iOS.

Cuando salgan a la luz más detalles sobre las vulnerabilidades, es posible que se encuentren más exploits en la naturaleza. Depende mucho de qué tan fácil sea abusar de ellos y qué tan grande puede ser el posible impacto. Pero con uno que ya se está utilizando en la naturaleza, es aconsejable actualizarlo ahora.

Como actualizar

La forma más fácil de hacerlo es permitir que Chrome se actualice automáticamente, que básicamente utiliza el mismo método que describí a continuación, pero no requiere su atención. Pero puede terminar rezagado si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.

Por lo tanto, no está de más comprobarlo de vez en cuando. Y ahora sería un buen momento.

Mi método preferido es que Chrome abra la página chrome: // settings / help, que también puede encontrar haciendo clic en Configuración> Acerca de Chrome .

Si hay una actualización disponible, Chrome se lo notificará y comenzará a descargarla. Luego le dirá que todo lo que tiene que hacer para completar la actualización es reiniciar el navegador.