Análise mostra detalhes do ransomware PYSA, uma das ameaças mais ativas de 2021

A empresa de segurança ESET realizou uma análise aprofundada do ransomware PYSA (acrônimo para Protect Your System Amigo), que geralmente solicita pagamento de resgates em criptomoedas para lbierar o acesso aos arquivos.

• Raspberry Pi consegue detectar malware a partir de ondas eletromagnéticas
• O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la

O ransomware PYSA é uma ameaça que opera sob o modelo Ransomware-as-a-Service (RaaS) que surgiu em dezembro de 2019 e ganhou notoriedade durante o final de 2020 como muitas outras ameaças.

O fato do PYSA funcionar como um RaaS implica que os desenvolvedores desse ransomware recrutam afiliados responsáveis pela distribuição da ameaça em troca de uma porcentagem dos lucros obtidos com os pagamentos que as vítimas fazem para recuperar seus arquivos da criptografia.

Além da cobrança de resgate, o PYSA implementa técnicas de extorsão de dinheiro da vítima que não concorda com o pagamento, como exfiltração de arquivos e ligações frias (ligações telefônicas que pressionam as empresas). Entre suas vítimas, estão incluídas organizações da Argentina, Brasil, Colômbia e México.

Os operadores por trás do PYSA possuem um site na dark web que é atualizado com informações sobre suas vítimas mais recentes, assim como os arquivos exfiltrados das empresas que não fizeram o pagamento. E, de acordo com o site Darktracer, o ransomware já havia feito 307 vítimas em toda sua história de operação, em países como Espanha, Argentina, Brasil, Colômbia e México.

Modo de operação

Ao contrário de outras famílias de ransomware bem conhecidas, o PYSA não explora vulnerabilidades técnicas de forma automatizada. Em vez disso, os ataques buscam obter acesso aos sistemas de suas vítimas, geralmente através de e-mails de phishing personalizados para os alvos ou ataques de força bruta contra sistemas expostos publicamente desprotegidos com o protocolo RDP.

Além disso, e antes de baixar o ransomware no sistema da vítima, os operadores por trás do PYSA usam ferramentas relacionadas ao teste de intrusão para realizar tarefas de reconhecimento dentro dos sistemas para coletar outras credenciais, escalar privilégios, mover lateralmente nas redes comprometida, etc.

Após a execução, o PYSA cria um mutex (chave lógica para liberar ou impedir ações específicas) para garantir que não haja outras instâncias do ransomware em execução no mesmo computador. Se já existir, a ameaça encerra sua execução para evitar uma possível criptografia dupla dos arquivos da vítima. Se continuar a ser executado, a ameaça segue uma lista muito específica de etapas:

• Cria threads que cuidarão do mecanismo de criptografia;
• Modifica os registros do sistema para que a nota de resgate mostrada à vítima seja aberta toda vez que o computador for inicializado;
• Prepare um script, denominado update.bat, e remove qualquer vestígio da ameaça em termos de arquivos;
• Examina o sistema de arquivos do computador e gera duas listas, chamadas de lista de permissões e lista negra, para controlar quais documentos serão ou não criptografados;
• Criptografa o conteúdo da lista "Lista de permissões" e não modifica esses arquivos da lista negra.

Como se proteger do PYSA

Para se proteger da ameaça do ransomware PYSA, a ESET recomenda os seguintes passos:

• Evitar abrir comunicações suspeitas que cheguem por e-mail ou mensagens em redes sociais e não interagir com arquivos ou sites anexados a elas;
• Configurar corretamente os protocolos de área de trabalho remota (RDP) e desativar aqueles que não são necessários;
• Implementar senhas fortes e autenticação de fator duplo em todas as tecnologias possíveis para evitar ataques de força bruta;
• Baixar programas e arquivos de fontes oficiais e confiáveis;
• Usar uma solução de segurança confiável e mantê-la atualizada;
• Fazer backups de informações críticas ou insubstituíveis regularmente.