Ransomware PYSA: características de uno de los grupos más activos de 2021

El ransomware PYSA, es una amenaza que opera bajo el modelo de Ransomware-as-a-Service (RaaS,) que surgió en diciembre del 2019 y que tomó notoriedad durante fines del 2020 como muchas otras amenazas. El hecho de que funcione como un RaaS implica que los desarrolladores de este ransomware reclutan afiliados que se encargan de la distribución de la amenaza a cambio de un porcentaje de las ganancias que obtienen de los pagos que realizan las víctimas para recuperar sus archivos del cifrado.

PYSA cayó en la mira de instituciones como el FBI y la agencia de ciberseguridad de Francia por las víctimas de alto calibre que fueron afectadas: Instituciones educativas de todos los niveles, como la Universidad Autónoma de Barcelona y otras universidades, así como agencias gubernamentales europeas, grandes proveedores del sector salud, entre otros. “Este perfil de los blancos de ataque se debe, probablemente, a que las víctimas están más inclinadas a querer recuperar sus archivos a toda costa (y, por lo tanto, acceder al pago) aún si no son compañías con un gran capital.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Los operadores detrás de PYSA cuentan con un sitio en la Dark web que se actualiza con información de sus víctimas más recientes, así como los archivos exfiltrados de aquellas compañías que no hayan realizado el pago. Según Darktracer, en noviembre de 2021 acumulaba un total de 307 víctimas, de las cuales 59 se registraron ese mismo mes. Revisando los nombres de las víctimas en su sitio, identificamos organizaciones de España y de algunos países de América Latina, como Argentina, Brasil, Colombia y México.

A diferencia de otras familias de ransomware conocidas, PYSA no se aprovecha de vulnerabilidades técnicas de manera automatizada. Por el contrario, los ataques buscan obtener acceso a los sistemas de su víctima generalmente mediante:

• Correos electrónicos con phishing elaborados a medida del objetivo (spearphishing).

• Ataques de fuerza bruta contra sistemas desprotegidos con el protocolo RDP expuestos públicamente.

Además, y previo a la descarga del ransomware en el sistema de la víctima, los operadores detrás de PYSA utilizan herramientas relacionadas al pentesting para realizar tareas de reconocimiento dentro de los sistemas para recolectar otras credenciales, escalar privilegios, moverse lateralmente dentro de la red comprometida, etc.

Al ejecutarse, PYSA crea un mutex para asegurarse que no haya otras instancias del ransomware corriendo en el mismo equipo. Si este ya existe, la amenaza finaliza su ejecución para prevenir un posible doble cifrado de los archivos de la víctima. De continuar su ejecución, la amenaza sigue una lista de pasos muy específica:

• Crea hilos de ejecución que se encargarán del mecanismo de cifrado.

• Modifica los registros del sistema para que la nota de rescate que se muestra a la víctima se abra cada vez que el equipo inicia.

• Prepara un script, llamado update.bat, para luego remover cualquier rastro de la amenaza en materia de archivos.

• Examina el sistema de archivos del equipo y genera dos listas, llamadas Allowlist y blacklist. En la primera, se incluyen archivos cuyas extensiones coincidan con una larga lista de extensiones interesantes, como .doc, .db, .zip, entre otros, y sean de mayor tamaño a 1 KB. En la segunda, se incluyen directorios críticos para el funcionamiento del sistema (como “C:\Windows”), ya que cifrarlos dificultaría el posible descifrado por parte de los atacantes. Al finalizar, todo archivo o directorio que no esté incluido en ninguna de las dos listas es marcado como “Allow”.

• Cifra el contenido de la lista “Allowlist” y no modifica aquellos archivos en la blacklist.

Como toda amenaza, existen recomendaciones para prevenir o aminorar las consecuencias de un ataque de este ransomware. Desde ESET aconsejan:

• Evitar abrir comunicaciones sospechosas que lleguen a través del correo electrónico o mensaje en redes sociales, y no interactuar con archivos o sitios adjuntos a las mismas.

• Configurar correctamente los protocolos de escritorio remoto (RDP), e inhabilitar aquellos que no sean necesarios.

• Implementar contraseñas fuertes y el doble factor de autenticación en todas las tecnologías que sea posible para evitar ataques de fuerza bruta.

• Descargar programas y archivos de fuentes oficiales y confiables.

• Utilizar una solución de seguridad de buena reputación, y mantenerla actualizada.

• Realizar backups de la información crítica o irremplazable de manera periódica.

“En caso de ser víctima de una infección con ransomware, no se recomienda contactar a los cibercriminales ni realizar el pago solicitado, ya que no hay garantías de que los cibercriminales tengan la llave para descifrar los archivos, ni que estén dispuestos a hacerlo”, agrega López de ESET Latinoamérica.