El 16 de marzo, la Oficina Federal de Investigaciones (FBI) emitió una alerta «Flash» sobre el ransomware PYSA después de un aumento en los ataques de este mes contra instituciones en el sector educativo, particularmente educación superior, K-12 y seminarios. Según la alerta [PDF], el Reino Unido y 12 estados de EE. UU. Ya se han visto afectados por esta familia de ransomware.

PYSA, también conocida como Mespinoza, se vio por primera vez en estado salvaje en octubre de 2019, donde se usó inicialmente contra grandes redes corporativas.

CERT Francia emitió una alerta hace un año sobre PYSA ampliando su alcance para incluir organizaciones gubernamentales francesas y otros gobiernos e instituciones fuera de Francia. PYSA fue categorizado como uno de los cazadores de caza mayor, uniéndose a las filas de Ryuk , Maze y Sodinokibi (REvil) . Los ataques de ransomware de «gran juego» se dirigen a organizaciones enteras, y los actores de amenazas operan su ransomware manualmente, después de pasar tiempo ingresando a las redes de una organización y realizando reconocimientos.

PYSA / Mespinoza puede llegar a las redes de las víctimas a través de campañas de phishing o mediante la fuerza bruta de las credenciales del Protocolo de escritorio remoto (RDP) para obtener acceso.

Antes de descargar y detonar la carga útil del ransomware, también se descubrió que los actores de amenazas detrás de este ransomware realizaban un reconocimiento de red utilizando herramientas de código abierto como Advanced Port Scanner y Advanced IP Scanner. También instalan otras herramientas similares, como Mimikatz, Koadic y PowerShell Empire (por nombrar algunas), para escalar privilegios y moverse lateralmente.

Los actores de la amenaza desactivan la protección de seguridad en la red, filtran archivos y cargan los datos robados en Mega.nz, un servicio de almacenamiento y uso compartido de archivos en la nube. Después de esto, PYSA se implementa y ejecuta. Todos los archivos cifrados en Windows y Linux, las dos plataformas a las que se dirige principalmente este ransomware, tendrán el .pysasufijo.

El informe del FBI también revela una posible táctica de doble extorsión que podría ocurrir contra las víctimas: “En incidentes anteriores, los ciber actores exfiltraron registros de empleo que contenían información de identificación personal (PII), información de impuestos sobre la nómina y otros datos que podrían usarse para extorsionar a las
víctimas para pagar un rescate «.

En los últimos seis meses, el FBI y otras organizaciones encargadas de hacer cumplir la ley han estado advirtiendo al sector educativo sobre una mayor actividad de amenazas contra ellos. Y esto no se limita solo a los ataques de ransomware. También entran en juego las campañas de phishing y la typosquatting de dominios .

La alerta «Flash» del FBI incluye estas mitigaciones recomendadas para objetivos potenciales.

Para prevenir ataques:

  • Instale actualizaciones de seguridad para sistemas operativos, software y firmware tan pronto como se publiquen.
  • Utilice la autenticación multifactor siempre que sea posible.
  • Evite reutilizar contraseñas para diferentes cuentas e implemente el plazo más corto aceptable para los cambios de contraseña.
  • Desactive los puertos RDP no utilizados y supervise el acceso remoto / registros RDP.
  • Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso con los privilegios más bajos que pueda.
  • Utilice software antivirus y antimalware actualizado en todos los hosts.
  • Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
  • Considere agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
  • Deshabilite los hipervínculos en los correos electrónicos recibidos.
  • Brindar a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como los riesgos emergentes de seguridad cibernética.

Para mitigar los efectos de un ataque:

  • Realice copias de seguridad de los datos y utilice espacios vacíos y contraseñas para que los atacantes no puedan acceder a ellos.
  • Utilice la segmentación de la red para dificultar el movimiento lateral.
  • Implemente un plan de recuperación y mantenga varias copias de datos confidenciales o de propiedad en ubicaciones seguras, segmentadas y separadas físicamente.