E-mail


Senha

Lembrar senha

   
Informe o e-mail usado para fazer o login


   



      Home      
     Serviços      
    Assessorias    
    Jornalistas    
    Blogueiros    
Pesquisa
    Incluir release  
    Meus releases    
    Clipping      
    Dúvidas (FAQ)    
    Indique        
    Condições     
      Sobre      
    Contato      




Ransomware PYSA: características de um dos grupos mais ativos de 2021
Enviar release
Este release no seu Blog ou Site

ESET alerta sobre um dos grupos mais ativos em 2021, cujas vítimas incluem organizações do Brasil

São Paulo, 26 de janeiro de 2022 – A ESET, empresa líder em detecção proativa de ameaças, analisa o PYSA (acrônimo para Protect Your System Amigo), um malware do tipo ransomware, com foco em sequestrar os arquivos do computador infectado, criptografando-os e solicitando o pagamento de um resgate, geralmente em criptomoedas. Além disso, implementa técnicas de extorsão de dinheiro da vítima que não concorda com o pagamento, como exfiltração de arquivos e ligações frias (ligações telefônicas que pressionam as empresas). Entre suas vítimas, estão incluídas organizações da Argentina, Brasil, Colômbia e México.

O ransomware PYSA é uma ameaça que opera sob o modelo Ransomware-as-a-Service (RaaS) que surgiu em dezembro de 2019 e ganhou notoriedade durante o final de 2020 como muitas outras ameaças. O fato de funcionar como um RaaS implica que os desenvolvedores desse ransomware recrutam afiliados responsáveis ​​pela distribuição da ameaça em troca de uma porcentagem dos lucros obtidos com os pagamentos que as vítimas fazem para recuperar seus arquivos da criptografia.

O PYSA foi alvo de instituições como o FBI e a agência francesa de segurança cibernética para as vítimas de alto calibre que foram afetadas: instituições educacionais de todos os níveis, como a Universidade Autônoma de Barcelona e outras universidades, bem como agências governamentais europeias, grandes provedores do setor saúde, entre outros. “Este perfil dos alvos de ataque provavelmente se deve ao fato de que as vítimas estão mais propensas a querer recuperar seus arquivos a todo custo (e, portanto, acessar o pagamento) mesmo que não sejam empresas com grande capital”, comenta Martina Lopez, pesquisadora de segurança de TI da ESET América Latina.

Os operadores por trás do PYSA possuem um site na Dark web que é atualizado com informações sobre suas vítimas mais recentes, bem como os arquivos exfiltrados das empresas que não fizeram o pagamento. Segundo Darktracer, em novembro de 2021 o ransomware acumulou um total de 307 vítimas, das quais 59 foram registradas no mesmo mês. Revendo os nomes das vítimas em seu site, identificamos organizações da Espanha e de alguns países da América Latina, como Argentina, Brasil, Colômbia e México.

Ao contrário de outras famílias de ransomware bem conhecidas, o PYSA não explora vulnerabilidades técnicas de forma automatizada. Em vez disso, os ataques buscam obter acesso aos sistemas de suas vítimas geralmente:

E-mails de phishing personalizados (spearphishing).
Ataques de força bruta contra sistemas expostos publicamente desprotegidos com o protocolo RDP.

Além disso, e antes de baixar o ransomware no sistema da vítima, os operadores por trás do PYSA usam ferramentas relacionadas ao teste de intrusão para realizar tarefas de reconhecimento dentro dos sistemas para coletar outras credenciais, escalar privilégios, mover lateralmente dentro da rede comprometida, etc.

Após a execução, o PYSA cria um mutex para garantir que não haja outras instâncias do ransomware em execução no mesmo computador. Se já existir, a ameaça encerra sua execução para evitar uma possível criptografia dupla dos arquivos da vítima. Se continuar a ser executado, a ameaça segue uma lista muito específica de etapas:

Cria threads que cuidarão do mecanismo de criptografia.
Modifica os registros do sistema para que a nota de resgate mostrada à vítima seja aberta toda vez que o computador for inicializado.
Prepare um script, denominado update.bat, e remove qualquer vestígio da ameaça em termos de arquivos.
Examina o sistema de arquivos do computador e gera duas listas, chamadas de lista de permissões e lista negra. A primeira inclui arquivos cujas extensões correspondem a uma longa lista de extensões interessantes, como .doc, .db, .zip, entre outras, e são maiores que 1 KB. Na segunda, são incluídos diretórios críticos para o funcionamento do sistema (como \"C:\\ Windows\"), pois criptografá-los dificultaria a descriptografia pelos invasores. Após a conclusão, qualquer arquivo ou diretório que não esteja incluído em nenhuma das duas listas é marcado como “Permitir”.
Criptografa o conteúdo da lista \"Lista de permissões\" e não modifica esses arquivos da lista negra.

Como qualquer ameaça, existem recomendações para prevenir ou diminuir as consequências de um ataque por este ransomware. A ESET aconselha:

Evitar abrir comunicações suspeitas que cheguem por e-mail ou mensagens em redes sociais e não interagir com arquivos ou sites anexados a elas.
Configurar corretamente os protocolos de área de trabalho remota (RDP) e desativar aqueles que não são necessários.
Implementar senhas fortes e autenticação de fator duplo em todas as tecnologias possíveis para evitar ataques de força bruta.
Baixar programas e arquivos de fontes oficiais e confiáveis.
Usar uma solução de segurança confiável e mantê-la atualizada.
Fazer backups de informações críticas ou insubstituíveis regularmente.

“Caso seja vítima de uma infecção de ransomware, não é recomendável entrar em contato com os cibercriminosos ou fazer o pagamento solicitado, pois não há garantia de que os cibercriminosos tenham a chave para descriptografar os arquivos, ou que estejam dispostos a fazê-lo”, adiciona Lopez.

A ESET disponibiliza o guia de ransomware; um documento que explica tudo sobre esse tipo de código malicioso.

Para saber mais sobre segurança da informação, acesse o portal de notícias da ESET: http://www.welivesecurity.com/br/

Visite-nos em: @eset_brasil /company/eset-brasil
Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite http://www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter.

Copyright © 1992 - 2021. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.

Contatos para Imprensa:
(11) 97673-2530
(11) 5096-5401
Weslley Morais - weslleymorais@aboutcom.com.br
Vanessa Ferreira - vanessaferreira@aboutcom.com.br
Laiza Piassali - laizapiassali@aboutcom.com.br
Manuel Quilarque - manuelquilarque@aboutcom.com.br


Editorias: Informática  Internet  
Tipo: Pauta  Data Publicação:
Fonte do release
Empresa: Vanessa Polon Ferreira  
Contato: Vanessa Polon  
Telefone: --

Envie um e-mail para o(a) responsável pela notícia acima:
Seu nome

Seu e-mail

Mensagem

Digite o código mostrado abaixo

  
Skype:
MSN:
Twitter:
Facebook:
Eventos
São Paulo
20/04/2024
Pia Fraus comemora seus 40 anos com estreia de espetáculo sobre a vida dos Dinossauros do Brasil
Curitiba - PR
23/04/2024
Embaixadora da Dinamarca visita projeto social inaugurado pela Princesa Benedikte em Curitiba
São Paulo
28/04/2024
Cris Barulins se apresenta em São Paulo mostrando versatilidade ao som de pandeiros
Rio de Janeiro
30/04/2024
Desospitalização: simpósio discute alta segura e transição dos cuidados
Copyright 2008 - DIFUNDIR - Todos os direitos reservados. Não é permitida a reprodução deste conteúdo sem prévia autorização.