A ESET analisa o PYSA (acrônimo para Protect Your System Amigo), um malware do tipo ransomware com foco em sequestrar os arquivos do computador infectado, criptografando-os e solicitando o pagamento de um resgate, geralmente em criptomoedas. Além disso, implementa técnicas de extorsão de dinheiro da vítima que não concorda com o pagamento, como exfiltração de arquivos e ligações frias (ligações telefônicas que pressionam as empresas). Entre suas vítimas, estão incluídas organizações da Argentina, Brasil, Colômbia e México.
O ransomware PYSA é uma ameaça que opera sob o modelo Ransomware-as-a-Service (RaaS) que surgiu em dezembro de 2019 e ganhou notoriedade durante o final de 2020 como muitas outras ameaças. O fato de funcionar como um RaaS implica que os desenvolvedores desse ransomware recrutam afiliados responsáveis pela distribuição da ameaça em troca de uma porcentagem dos lucros obtidos com os pagamentos que as vítimas fazem para recuperar seus arquivos da criptografia.
O PYSA foi alvo de instituições como o FBI e a agência francesa de segurança cibernética para as vítimas de alto calibre que foram afetadas: instituições educacionais de todos os níveis, como a Universidade Autônoma de Barcelona e outras universidades, bem como agências governamentais europeias, grandes provedores do setor saúde, entre outros. “Este perfil dos alvos de ataque provavelmente se deve ao fato de que as vítimas estão mais propensas a querer recuperar seus arquivos a todo custo (e, portanto, acessar o pagamento) mesmo que não sejam empresas com grande capital”, comenta Martina Lopez, pesquisadora de segurança de TI da ESET América Latina.
Os operadores por trás do PYSA possuem um site na Dark web que é atualizado com informações sobre suas vítimas mais recentes, bem como os arquivos exfiltrados das empresas que não fizeram o pagamento. Segundo Darktracer, em novembro de 2021 o ransomware acumulou um total de 307 vítimas, das quais 59 foram registradas no mesmo mês.
Ao contrário de outras famílias de ransomware bem conhecidas, o PYSA não explora vulnerabilidades técnicas de forma automatizada. Em vez disso, os ataques buscam obter acesso aos sistemas de suas vítimas geralmente:
*E-mails de phishing personalizados (spearphishing).
*Ataques de força bruta contra sistemas expostos publicamente desprotegidos com o protocolo RDP.
Além disso, e antes de baixar o ransomware no sistema da vítima, os operadores por trás do PYSA usam ferramentas relacionadas ao teste de intrusão para realizar tarefas de reconhecimento dentro dos sistemas para coletar outras credenciais, escalar privilégios, mover lateralmente dentro da rede comprometida, etc.
Após a execução, o PYSA cria um mutex para garantir que não haja outras instâncias do ransomware em execução no mesmo computador. Se já existir, a ameaça encerra sua execução para evitar uma possível criptografia dupla dos arquivos da vítima. Se continuar a ser executado, a ameaça segue uma lista muito específica de etapas:
*Cria threads que cuidarão do mecanismo de criptografia.
*Modifica os registros do sistema para que a nota de resgate mostrada à vítima seja aberta toda vez que o computador for inicializado.
*Prepare um script, denominado update.bat, e remove qualquer vestígio da ameaça em termos de arquivos.
*Examina o sistema de arquivos do computador e gera duas listas, chamadas de lista de permissões e lista negra. A primeira inclui arquivos cujas extensões correspondem a uma longa lista de extensões interessantes, como .doc, .db, .zip, entre outras, e são maiores que 1 KB. Na segunda, são incluídos diretórios críticos para o funcionamento do sistema (como “C:\ Windows”), pois criptografá-los dificultaria a descriptografia pelos invasores. Após a conclusão, qualquer arquivo ou diretório que não esteja incluído em nenhuma das duas listas é marcado como “Permitir”.
*Criptografa o conteúdo da lista “Lista de permissões” e não modifica esses arquivos da lista negra.
Como qualquer ameaça, existem recomendações para prevenir ou diminuir as consequências de um ataque por este ransomware. A ESET aconselha:
*Evitar abrir comunicações suspeitas que cheguem por e-mail ou mensagens em redes sociais e não interagir com arquivos ou sites anexados a elas.
*Configurar corretamente os protocolos de área de trabalho remota (RDP) e desativar aqueles que não são necessários.
*Implementar senhas fortes e autenticação de fator duplo em todas as tecnologias possíveis para evitar ataques de força bruta.
*Baixar programas e arquivos de fontes oficiais e confiáveis.
*Usar uma solução de segurança confiável e mantê-la atualizada.
*Fazer backups de informações críticas ou insubstituíveis regularmente.
“Caso seja vítima de uma infecção de ransomware, não é recomendável entrar em contato com os cibercriminosos ou fazer o pagamento solicitado, pois não há garantia de que os cibercriminosos tenham a chave para descriptografar os arquivos, ou que estejam dispostos a fazê-lo”, adiciona Lopez.
