Ransomware PYSA: características de uno de los grupos más activos de 2021

ESET, compañía líder en detección proactiva de amenazas, analiza PYSA (acrónimo de Protect Your System Amigo), un malware de tipo ransomware, focalizado en secuestrar los archivos del equipo infectado cifrándolos y solicitando el pago de un rescate, generalmente en criptomonedas. Además, implementa técnicas para extorsionar a la víctima que no acceda al pago, como la exfiltración de los archivos y el cold-calling (llamadas telefónicas presionando a las compañías).Entre sus víctimas tiene a organizaciones de Argentina, Brasil, Colombia y México.

El ransomware PYSA, es una amenaza que opera bajo el modelo de Ransomware-as-a-Service (RaaS,) que surgió en diciembre del 2019 y que tomó notoriedad durante fines del 2020 como muchas otras amenazas. El hecho de que funcione como un RaaS implica que los desarrolladores de este ransomware reclutan afiliados que se encargan de la distribución de la amenaza a cambio de un porcentaje de las ganancias que obtienen de los pagos que realizan las víctimas para recuperar sus archivos del cifrado.

PYSA cayó en la mira de instituciones como el FBI y la agencia de ciberseguridad de Francia por las víctimas de alto calibre que fueron afectadas: Instituciones educativas de todos los niveles, como la Universidad Autónoma de Barcelona y otras universidades, así como agencias gubernamentales europeas, grandes proveedores del sector salud, entre otros. Martina López, investigadora de Seguridad Informática de ESET Latinoamérica, comenta: ‘Este perfil de los blancos de ataque se debe, probablemente, a que las víctimas están más inclinadas a querer recuperar sus archivos a toda costa (y, por lo tanto, acceder al pago) aún si no son compañías con un gran capital’.

Los operadores detrás de PYSA cuentan con un sitio en la Dark web que se actualiza con información de sus víctimas más recientes, así como los archivos exfiltrados de aquellas compañías que no hayan realizado el pago. Según Darktracer, en noviembre de 2021 acumulaba un total de 307 víctimas, de las cuales 59 se registraron ese mismo mes. Revisando los nombres de las víctimas en su sitio, identificamos organizaciones de España y de algunos países de América Latina, como Argentina, Brasil, Colombia y México.

A diferencia de otras familias de ransomware conocidas, PYSA no se aprovecha de vulnerabilidades técnicas de manera automatizada. Por el contrario, los ataques buscan obtener acceso a los sistemas de su víctima generalmente mediante:

Además, y previo a la descarga del ransomware en el sistema de la víctima, los operadores detrás de PYSA utilizan herramientas relacionadas al pentesting para realizar tareas de reconocimiento dentro de los sistemas para recolectar otras credenciales, escalar privilegios, moverse lateralmente dentro de la red comprometida, etc.

Al ejecutarse, PYSA crea un mutex para asegurarse que no haya otras instancias del ransomware corriendo en el mismo equipo. Si este ya existe, la amenaza finaliza su ejecución para prevenir un posible doble cifrado de los archivos de la víctima. De continuar su ejecución, la amenaza sigue una lista de pasos muy específica:

Como toda amenaza, existen recomendaciones para prevenir o aminorar las consecuencias de un ataque de este ransomware. Desde ESET aconsejan:

López finaliza comentando: ‘En caso de ser víctima de una infección con ransomware, no se recomienda contactar a los cibercriminales ni realizar el pago solicitado, ya que no hay garantías de que los cibercriminales tengan la llave para descifrar los archivos, ni que estén dispuestos a hacerlo’.

Ante este contexto, desde ESET acerca la guía de ransomware; un documento que explica todo sobre este tipo de código malicioso. Además, comparte el kit Anti-Ransomwarecon información sobre la amenaza y medidas de prevención.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESEThttps://www.welivesecurity.com/la-es/2021/12/27/ransomware-pysa-principales-caracteristicas/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Salir de la versión móvil