El problema de la ciberseguridad del sector de la educación se ha agravado en los últimos meses. Una advertencia reciente del FBI, a mediados de marzo, notificó a las escuelas de los EE. UU. Y el Reino Unido sobre un aumento de los ataques de los actores de amenazas detrás del ransomware PYSA.

Si es la primera vez que oye hablar de esta familia, siga leyendo.

¿Qué es el ransomware PYSA?

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .lockedextensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

Según Intel 471, una empresa de inteligencia de amenazas, PYSA / Mespinoza es un operador de RaaS de nivel 2, ya que ha ido ganando reputación en el mundo subterráneo. Los operadores o equipos que hacen esto tienen una página, llamada «lista de filtraciones», donde nombran y avergüenzan a las víctimas que deciden no pagar el rescate. Las víctimas se enumeran con un archivo adjunto que contiene archivos que los actores de la amenaza extrajeron de ellos.

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

Luego, los actores de amenazas ejecutan manualmente el ransomware dentro de la red después de filtrar todos los datos que necesitan para aprovechar. Los archivos se cifran mediante AES implementado con claves cifradas RSA.

¿Quién ha sido atacado por PYSA?

Se sabe que PYSA se dirige a grandes organizaciones privadas y a aquellas que pertenecen a la industria de la salud. También han afectado a grupos gubernamentales en varios continentes. Recientemente, PYSA se ha utilizado cada vez más contra instituciones educativas en los EE. UU. Y el Reino Unido.

A continuación se muestra una lista no exhaustiva de incidentes relacionados con PYSA:

• En marzo de 2020, CERT Francia emitió una advertencia a los gobiernos locales franceses sobre el aumento de los ataques de PYSA.
• En mayo de 2020, MyBudget, la empresa de administración de dinero de Australia, experimentó una “interrupción” que duró 13 días (del 9 al 22 de mayo). Las filtraciones de datos extraídos llegaron al blog de PYSA. Posteriormente, la compañía confirmó a iTWire el 29 de mayo que la larga interrupción fue causada por un ataque de ransomware. Sin embargo, al mes siguiente, las fuentes notaron que el nombre y los archivos de MyBudget fueron eliminados del blog de PYSA, lo que llevó a algunos a especular que pudo haber pagado el rescate, a pesar de las garantías de que «no tenía intención de comprometerse con las demandas de rescate».
• En octubre de 2020, un “ciberataque grave” afectó al Hackney Council de Londres en el Reino Unido, dejándolo incapaz de procesar los pagos de las prestaciones de vivienda y provocando la caída de las compras de viviendas. Aunque al principio no hablaron de todo el incidente, se supo que los actores de la amenaza del ransomware PYSA estaban detrás del ataque después de filtrar los datos que extrajeron de la compañía en enero de 2021.

¿Malwarebytes detecta PYSA ransomware?

Estamos seguros de hacer. Detectamos es como Ransom.Mespinoza .

Indicadores de compromiso (IOC)

Hash SHA256:

• 7fd3000a3afbf077589c300f90b59864ec1fb716feba8e288ed87291c8fdf7c3
• e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• f0939ebfda6b30a330a00c57497038a54da359e316e0d6e6e71871fd50fec16a
• 48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3
• 0f0014669bc10a7d87472cafc05301c66516857607b920ddeb3039f4cb8f0a50
• 61bb42fe06b3511d512af33ef59baa295b29bd62eb4d0bf28639c7910a65e4ae
• 425945a93beb160f101d51de36363d1e7ebc45279987c3eaf5e7f183ed0a3776
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560
• 1a0ff707938a1399e23af000567806a87fff9b8789ae43badb4d28d4bef1fb81
• b1381635c936e8de92cfa26938c80a359904c1d709ef11ee286ba875cfb7b330

Archivo de nota de rescate, Readme.README, que incluye el siguiente contenido:

Hola compañia

Cada byte de cualquier tipo de dispositivo se cifró.
No intente utilizar copias de seguridad porque también están cifradas.

Para recuperar todos sus datos, comuníquese con nosotros:
{2 @ protonmail.com direcciones de correo electrónico}

————–

PREGUNTAS MÁS FRECUENTES:

1.

P: ¿Cómo puedo asegurarme de que no me engañas?

R: Puede enviarnos 2 archivos (máximo 2 MB).

2.

P: ¿Qué hacer para recuperar todos los datos?

R: No reinicie la computadora, no mueva archivos y escríbanos.

3.

P: ¿Qué decirle a mi jefe?

R: Protege tu sistema Amigo.