A ESET, empresa líder em detecção proativa de ameaças, analisa o PYSA (acrônimo para Protect Your System Amigo), um malware do tipo ransomware, com foco em sequestrar os arquivos do computador infectado, criptografando-os e solicitando o pagamento de um resgate, geralmente em criptomoedas. Além disso, implementa técnicas de extorsão de dinheiro da vítima que não concorda com o pagamento, como exfiltração de arquivos e ligações frias (ligações telefônicas que pressionam as empresas). Entre suas vítimas, estão incluídas organizações da Argentina, Brasil, Colômbia e México.
O ransomware PYSA é uma ameaça que opera sob o modelo Ransomware-as-a-Service (RaaS) que surgiu em dezembro de 2019 e ganhou notoriedade durante o final de 2020 como muitas outras ameaças. O fato de funcionar como um RaaS implica que os desenvolvedores desse ransomware recrutam afiliados responsáveis pela distribuição da ameaça em troca de uma porcentagem dos lucros obtidos com os pagamentos que as vítimas fazem para recuperar seus arquivos da criptografia.
O PYSA foi alvo de instituições como o FBI e a agência francesa de segurança cibernética para as vítimas de alto calibre que foram afetadas: instituições educacionais de todos os níveis, como a Universidade Autônoma de Barcelona e outras universidades, bem como agências governamentais europeias, grandes provedores do setor saúde, entre outros. “Este perfil dos alvos de ataque provavelmente se deve ao fato de que as vítimas estão mais propensas a querer recuperar seus arquivos a todo custo (e, portanto, acessar o pagamento) mesmo que não sejam empresas com grande capital”, comenta Martina Lopez, pesquisadora de segurança de TI da ESET América Latina.
Os operadores por trás do PYSA possuem um site na Dark web que é atualizado com informações sobre suas vítimas mais recentes, bem como os arquivos exfiltrados das empresas que não fizeram o pagamento. Segundo Darktracer, em novembro de 2021 o ransomware acumulou um total de 307 vítimas, das quais 59 foram registradas no mesmo mês. Revendo os nomes das vítimas em seu site, identificamos organizações da Espanha e de alguns países da América Latina, como Argentina, Brasil, Colômbia e México.
Ao contrário de outras famílias de ransomware bem conhecidas, o PYSA não explora vulnerabilidades técnicas de forma automatizada. Em vez disso, os ataques buscam obter acesso aos sistemas de suas vítimas geralmente:
Além disso, e antes de baixar o ransomware no sistema da vítima, os operadores por trás do PYSA usam ferramentas relacionadas ao teste de intrusão para realizar tarefas de reconhecimento dentro dos sistemas para coletar outras credenciais, escalar privilégios, mover lateralmente dentro da rede comprometida, etc.
Após a execução, o PYSA cria um mutex para garantir que não haja outras instâncias do ransomware em execução no mesmo computador. Se já existir, a ameaça encerra sua execução para evitar uma possível criptografia dupla dos arquivos da vítima. Se continuar a ser executado, a ameaça segue uma lista muito específica de etapas:
Como qualquer ameaça, existem recomendações para prevenir ou diminuir as consequências de um ataque por este ransomware. A ESET aconselha:
“Caso seja vítima de uma infecção de ransomware, não é recomendável entrar em contato com os cibercriminosos ou fazer o pagamento solicitado, pois não há garantia de que os cibercriminosos tenham a chave para descriptografar os arquivos, ou que estejam dispostos a fazê-lo”, adiciona Lopez.
A ESET disponibiliza o guia de ransomware; um documento que explica tudo sobre esse tipo de código malicioso.
Para saber mais sobre segurança da informação, acesse o portal de notícias da ESET: https://www.welivesecurity.com/br/