Un an\u00e1lisis de 18 meses de duraci\u00f3n de la operaci\u00f3n de ransomware PYSA revel\u00f3 que el c\u00e1rtel del cibercrimen sigui\u00f3 un ciclo de desarrollo de software de cinco etapas desde agosto de 2020, y los autores del malware priorizaron las caracter\u00edsticas para mejorar la eficiencia de sus flujos de trabajo.<\/p>\n
Esto inclu\u00eda una herramienta f\u00e1cil de usar como un motor de b\u00fasqueda de texto completo para facilitar la extracci\u00f3n de metadatos y permitir que los actores de amenazas encontraran y accedieran a la informaci\u00f3n de las v\u00edctimas r\u00e1pidamente.<\/p>\n
“Se sabe que el grupo investiga cuidadosamente objetivos de alto valor antes de lanzar sus ataques, comprometiendo los sistemas empresariales y obligando a las organizaciones a pagar grandes rescates para restaurar sus datos”, la empresa suiza de ciberseguridad PRODAFT. dicho<\/a> en un exhaustivo informe publicado la semana pasada.<\/p>\n PYSA, abreviatura de “Protect Your System, Amigo” y sucesor del ransomware Mespinoza, se observ\u00f3 por primera vez en diciembre de 2019 y se ha convertido en la tercera cepa de ransomware m\u00e1s frecuente detectada durante el cuarto trimestre de 2021.<\/p>\n Desde septiembre de 2020, se cree que la banda de ciberdelincuentes extrajo informaci\u00f3n confidencial perteneciente a hasta 747 v\u00edctimas hasta que sus servidores se desconectaron a principios de enero.<\/p>\n La mayor\u00eda de sus v\u00edctimas se encuentran en los EE. UU. y Europa, y el grupo ataca principalmente a los sectores gubernamental, sanitario y educativo. “Estados Unidos fue el pa\u00eds m\u00e1s afectado, representando el 59,2 % de todos los eventos de PYSA informados, seguido del Reino Unido con un 13,1 %”, se\u00f1al\u00f3 Intel 471 en un an\u00e1lisis de los ataques de ransomware registrados entre octubre y diciembre de 2021.<\/p>\n Se sabe que PYSA, al igual que otras familias de ransomware, sigue el enfoque de “caza mayor” de la doble extorsi\u00f3n, que implica publicar la informaci\u00f3n robada si la v\u00edctima se niega a cumplir con las demandas del grupo.<\/p>\n Cada archivo elegible se cifra y se le otorga una extensi\u00f3n “.pysa”, cuya descodificaci\u00f3n requiere la clave privada RSA que solo se puede obtener despu\u00e9s de pagar el rescate. Se dice que casi el 58% de las v\u00edctimas de PYSA han realizado pagos digitales.<\/p>\n PRODAFT, que pudo ubicar una carpeta .git disponible p\u00fablicamente administrada por operadores de PYSA, identific\u00f3 a uno de los autores del proyecto como “dodo@mail.pcc”, un actor de amenazas que se cree que se encuentra en un pa\u00eds que observa el horario de verano. basado en el historial de confirmaci\u00f3n.<\/p>\n Se dice que al menos 11 cuentas, la mayor\u00eda de las cuales se crearon el 8 de enero de 2021, est\u00e1n a cargo de la operaci\u00f3n general, revel\u00f3 la investigaci\u00f3n. Dicho esto, cuatro de estas cuentas, denominadas t1, t3, t4 y t5, representan m\u00e1s del 90 % de la actividad en el panel de administraci\u00f3n del grupo.<\/p>\n Otros errores de seguridad operacional cometidos por los miembros del grupo tambi\u00e9n permitieron identificar un servicio oculto que se ejecuta en la red de anonimato TOR, un proveedor de alojamiento (Snel.com BV) ubicado en los Pa\u00edses Bajos, que ofrece un vistazo a las t\u00e1cticas del actor.<\/p>\n La infraestructura de PYSA tambi\u00e9n consta de contenedores dockerizados, que incluyen servidores p\u00fablicos de fugas, bases de datos y servidores de administraci\u00f3n, as\u00ed como una nube de Amazon S3 para almacenar los archivos cifrados, que ascienden a 31,47 TB.<\/p>\n Tambi\u00e9n se pone en uso un panel de gesti\u00f3n de fugas personalizado para buscar documentos confidenciales en los archivos extra\u00eddos de las redes internas de las v\u00edctimas antes del cifrado. Adem\u00e1s de usar el sistema de control de versiones Git para administrar los procesos de desarrollo, el panel en s\u00ed est\u00e1 codificado en PHP 7.3.12 usando el marco Laravel.<\/p>\n Adem\u00e1s, el panel de administraci\u00f3n expone una variedad de puntos finales de API que permiten que el sistema enumere archivos, descargue archivos y analice los archivos para la b\u00fasqueda de texto completo, que est\u00e1 dise\u00f1ado para categorizar la informaci\u00f3n de la v\u00edctima robada en categor\u00edas amplias para una f\u00e1cil recuperaci\u00f3n.<\/p>\n \u201cEl grupo cuenta con el apoyo de desarrolladores competentes que aplican paradigmas operativos modernos al ciclo de desarrollo del grupo\u201d, dijo el investigador. “Sugiere un entorno profesional con una divisi\u00f3n de responsabilidades bien organizada, en lugar de una red suelta de actores de amenazas semiaut\u00f3nomos”.<\/p>\n En todo caso, los hallazgos son otro indicador m\u00e1s de que las pandillas de ransomware como PYSA y Conti operan y est\u00e1n organizado<\/a> me gusta empresas de software leg\u00edtimas<\/a>incluso incluido<\/a> un departamento de recursos humanos para reclutar nuevos empleados y un premio al “empleado del mes” por abordar problemas desafiantes. <\/p>\n La divulgaci\u00f3n tambi\u00e9n se presenta como un informe de la empresa de ciberseguridad Sophos. encontrado<\/a> que dos o m\u00e1s grupos de actores de amenazas pasaron al menos cinco meses dentro de la red de una agencia gubernamental regional de EE. UU. no identificada antes de implementar una carga \u00fatil de ransomware LockBit a principios de a\u00f1o.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/El-malware-bancario-para-Android-TeaBot-se-propaga-de-nuevo.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650287640_972_Los-investigadores-comparten-un-analisis-en-profundidad-del-grupo-de.jpg\")
<\/div>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjcqY4edida-1uBdhqYqWHPZoPTskwTUp8_pI5VHpPJang-4cR16dXrM9w1fozwgQHuJAd2l6onGd607upcSP8J-iqXeSA0sSlT9oqzzm80L4E3bzv9bnNRr6bKb3TWzs0jvvnQ3sW29F3yCiWmPFRUcD6wAFrZBMBP-2miIsFLqFCqP5JnuEUc3Vmj\/s728-e100\/ransomware-2.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n