Análisis en profundidad de PYSA Ransomware

Un análisis de 18 meses de la operación de ransomware PYSA reveló que, a partir de agosto de 2020, el cártel del ciberdelito siguió un ciclo de desarrollo de software de cinco etapas, en el que los autores de malware priorizaron las funciones para mejorar la eficiencia de sus flujos de trabajo.

Esto incluía una herramienta fácil de usar, como un motor de búsqueda de texto completo, para facilitar la extracción de metadatos y permitir a los atacantes encontrar y acceder rápidamente a la información de la víctima.

«El grupo es conocido por examinar cuidadosamente objetivos de alto valor antes de lanzar sus ataques, comprometiendo los sistemas corporativos y obligando a las empresas a pagar fuertes rescates para recuperar sus datos», según un detallado informe que presentó recientemente la firma suiza de ciberseguridad PRODAFT.

PYSA, abreviatura de «Protect Your System, Amigo» y sucesor del ransomware Mespinoza, se observó por primera vez en diciembre de 2019 y se ha convertido en la tercera cepa de ransomware más común detectada en el cuarto trimestre de 2021.

Se cree que la banda de ciberdelincuentes extrajo información confidencial de hasta 747 víctimas desde septiembre de 2020, hasta que sus servidores se desconectaron a principios de enero de este año.

La mayoría de sus víctimas se encuentran en los EE. UU. y Europa, y el grupo afecta principalmente a los sectores del gobierno, la salud y la educación. «Estados Unidos fue el país más afectado, representando el 59,2% de todos los eventos PYSA informados, seguido por el Reino Unido con un 13,1%», según el último análisis de los ataques de ransomware registrados entre octubre y diciembre de 2021.

PYSA, al igual que otras familias de ransomware, es conocida por adoptar el enfoque de doble rescate de «caza mayor», eliminando la información robada si una víctima se niega a cumplir con las demandas del grupo.

Cada archivo legítimo se cifra y se adjunta con la extensión «.pysa», que requiere la clave privada RSA para el descifrado, que solo se puede obtener después de pagar el rescate. Se dice que casi el 58% de las víctimas de PYSA han pagado digitalmente.

PRODAFT, que pudo ubicar una carpeta .git de acceso público mantenida por los operadores de PYSA, identificó a uno de los autores del proyecto como «dodo@mail.pcc», un actor de amenazas que se cree que se encuentra en un país con horario de verano basado en su historial de conexiones.

Se dice que al menos 11 cuentas, la mayoría de las cuales se crearon el 8 de enero de 2021, son responsables de la operación general, según descubrió la investigación. Sin embargo, cuatro de esas cuentas, denominadas t1, t3, t4 y t5, representan más del 90% de la actividad en el panel de administración del grupo.

Otros errores de seguridad operativa cometidos por los miembros del grupo también permitieron identificar un servicio oculto que se ejecuta en la red de anonimato TOR, un proveedor de alojamiento (Snel.com BV) con sede en los Países Bajos, que podría proporcionar información sobre las tácticas del hacker.

La infraestructura de PYSA también consta de contenedores dockerizados, que incluyen servidores públicos de fugas, servidores de administración y bases de datos, y una nube de Amazon S3 para almacenar los archivos cifrados, con un total de 31,47 TB.

Además, se utiliza un panel de gestión de fugas personalizado para buscar documentos confidenciales en los archivos extraídos de las redes internas de las víctimas antes del cifrado. Además de usar el sistema de control de versiones Git para administrar los procesos de desarrollo, el panel en sí está codificado en PHP 7.3.12 usando el marco Laravel.

Además, el panel de administración expone una variedad de puntos finales de API que permiten que el sistema enumere archivos, descargue archivos y analice los archivos para la búsqueda de texto completo diseñada para categorizar la información de la víctima robada en categorías amplias para una fácil recuperación.

“El grupo cuenta con el apoyo de desarrolladores competentes que aplican paradigmas operativos modernos al ciclo de desarrollo del grupo”, dijo el investigador. «Sugiere un entorno profesional con una división de funciones bien organizada en lugar de una red flexible de actores de amenazas semiautónomos».

En todo caso, los resultados son otro indicador de que las pandillas de ransomware como PYSA y Conti están y seguirán operando cómo empresas de software legítimas incluso con un departamento de Recursos Humanos para reclutar nuevos empleados y un premio al «Empleado del Mes» por superar problemas desafiantes.

La divulgación también se presenta en un reciente informe de la empresa de ciberseguridad Sophos. Donde indican que dos o más grupos de actores de amenazas pasaron al menos cinco meses en la red de una agencia gubernamental regional de EE. UU. no identificada antes de implementar una carga útil de ransomware LockBit a principios de este año.

Compártelo
Compártelo
Compártelo
Compártelo
Compártelo

Para estar siempre conectados

Suscríbete a nuestro boletín y recibe periódicamente nuestras actualizaciones de información, informes de seguridad digital, consejos, nuestras promociones y ofertas y mucho más…