top of page

Investigadores comparten un análisis en profundidad del grupo de ransomware PYSA



Un análisis de 18 meses de duración de la operación del ransomware PYSA ha revelado que el cártel de ciberdelincuentes siguió un ciclo de desarrollo de software de cinco etapas a partir de agosto de 2020 en el que los actores del malware priorizaron las características para mejorar la eficiencia de sus flujos de trabajo.


Esto incluyó una herramienta fácil de usar como un motor de búsqueda de texto completo para facilitar la extracción de metadatos y permitir a los actores de la amenaza encontrar y acceder a la información de la víctima rápidamente.


"El grupo es conocido por investigar cuidadosamente objetivos de alto valor antes de lanzar sus ataques, comprometiendo los sistemas de las empresas y obligando a las organizaciones a pagar grandes rescates para restaurar sus datos", dijo la empresa suiza de ciberseguridad PRODAFT en un exhaustivo informe publicado la semana pasada.

PYSA, abreviatura de "Protect Your System Amigo" y sucesor del ransomware Mespinoza, se observó por primera vez en diciembre de 2019 y ha surgido como la tercera cepa de ransomware más prevalente detectada durante el cuarto trimestre de 2021.


Desde septiembre de 2020, se cree que la banda de ciberdelincuentes ha exfiltrado información sensible perteneciente a nada menos que 747 víctimas hasta que sus servidores fueron desconectados a principios de enero.


La mayoría de sus víctimas se encuentran en Estados Unidos y Europa y el grupo ataca principalmente a los sectores gubernamentales, sanitario y educativo. "Estados Unidos fue el país más afectado, representando el 59,2% de todos los eventos PYSA reportados, seguido por el Reino Unido con el 13,1%", señaló Intel 471 en un análisis de los ataques de ransomware registrados de octubre a diciembre de 2021.


PYSA, al igual que otras familias de ransomware, es conocido por seguir el enfoque de "caza mayor" de la doble extorsión, que implica la publicación de la información robada en caso de que una víctima se niegue a cumplir con las demandas del grupo.


Todos los archivos que cumplen los requisitos se encriptan y reciben una extensión ".pysa", cuya decodificación requiere la clave privada RSA que sólo puede obtenerse tras pagar el rescate. Se dice que casi el 58% de las víctimas de PYSA han realizado pagos digitales.


PRODAFT, que pudo localizar una carpeta .git de acceso público gestionada por los operadores de PYSA, identificó a uno de los actores del proyecto como "dodo@mail.pcc", un actor de la amenaza que, según el historial de commits, se cree que se encuentra en un país que observa el horario de verano.


Al menos 11 cuentas, la mayoría de las cuales fueron creadas el 8 de enero de 2021, estarían a cargo de la operación general, según ha revelado la investigación. Dicho esto, cuatro de estas cuentas (llamadas t1, t3, t4 y t5) representan más del 90% de la actividad en el panel de gestión del grupo.


Otros errores de seguridad operativa cometidos por los miembros del grupo también permitieron identificar un servicio oculto que funcionaba en la red de anonimato TOR -un proveedor de alojamiento (Snel.com B.V.) ubicado en los Países Bajos-, lo que permite vislumbrar las tácticas del actor.


La infraestructura de PYSA también consiste en contenedores dockerizados, incluyendo servidores de filtración pública, base de datos y servidores de gestión, así como una nube de Amazon S3 para almacenar los archivos cifrados, que ascienden a la enorme cantidad de 31,47TB.


También se ha puesto en marcha un panel de gestión de filtraciones personalizado para buscar documentos confidenciales en los archivos exfiltrados de las redes internas de las víctimas antes del cifrado. Además de utilizar el sistema de control de versiones Git para gestionar los procesos de desarrollo, el propio panel está codificado en PHP 7.3.12 utilizando el framework Laravel.


Es más, el panel de gestión expone una variedad de puntos finales de la API que permite al sistema listar archivos, descargar archivos y analizar los archivos para la búsqueda de texto completo, que está diseñado para categorizar la información de las víctimas robadas en amplias categorías para facilitar su recuperación.


"El grupo cuenta con el apoyo de desarrolladores competentes que aplican paradigmas operativos modernos al ciclo de desarrollo del grupo", dijo el investigador. "Esto sugiere un entorno profesional con una división de responsabilidades bien organizada, en lugar de una red suelta de actores de amenazas semi autónomos".


En todo caso, los hallazgos son un indicador más de que las bandas de ransomware como PYSA y Conti operan y están estructuradas como empresas de software legítimas, incluyendo incluso un departamento de recursos humanos para reclutar nuevas contrataciones y un premio al "empleado del mes" por abordar problemas difíciles.


La revelación también se produce cuando un informe de la empresa de ciberseguridad Sophos descubrió que dos o más grupos de actores de amenazas pasaron al menos cinco meses dentro de la red de una agencia gubernamental regional no identificada de Estados Unidos antes de desplegar una carga útil de ransomware LockBit a principios de año.

bottom of page