Francia advierte sobre nueva pandilla de ransomware dirigida a gobiernos locales


Francia-advierte-de-ciberataques-contra-ser-5d9f445eb93c140001af244c-1-oct-15-2019-13-47-03-poster.jpg

La agencia de seguridad cibernética de Francia emitió una alerta esta semana advirtiendo sobre una nueva pandilla de ransomware que recientemente se ha visto atacando las redes de autoridades del gobierno regional.

La alerta, emitida por el equipo francés CERT, apunta a un número creciente de ataques llevados a cabo con una nueva versión de la cepa de ransomware Mespinoza, también conocida como ransomware Pysa.

Esta cepa de ransomware fue primero visto haciendo víctimas el año pasado, en octubre de 2019. De acuerdo con los informes en ese momento, las víctimas informaron que tenían datos cifrados con el.bloqueado extensión agregada al final de cada archivo rescatado.

Una nueva versión de Mespinoza se detectó dos meses después, en diciembre de 2019. Esta utilizó el.pysa extensión de archivo, que explica el segundo nombre de Pysa con el que a veces se hace referencia a este ransomware.

En casos anteriores de infecciones por Mespinoza / Pysa, la mayoría de las víctimas eran empresas, lo que sugiere que el grupo detrás de este nuevo ransomware estaba específicamente dirigido a grandes redes corporativas en un intento de maximizar las demandas de rescate e inherentemente sus ganancias.

Ahora, el CERT-FR dice que la pandilla Pysa se ha movido para atacar a las organizaciones francesas, y que la agencia recibe informes de múltiples infecciones.

No está claro cómo la pandilla Pysa está infectando a las víctimas

CERT-FR dijo que aún está investigando cómo la pandilla Pysa está obteniendo acceso a las redes de las víctimas. Sin embargo, las pistas forenses dejadas atrás muestran una imagen de lo que podría haber sucedido en algunas de las redes infectadas / rescatadas.

Por ejemplo, el CERT-FR dijo que había evidencia que sugiere que la pandilla Pysa lanzó ataques de fuerza bruta contra consolas de administración y cuentas de Lively Listing.

Estos ataques de fuerza bruta fueron seguidos por la filtración de la foundation de datos de contraseñas y cuentas de una empresa.

Las organizaciones de víctimas también informaron haber visto conexiones RDP no autorizadas a sus controladores de dominio y la implementación de scripts de Batch y PowerShell.

Además, la pandilla Pysa también implementó una versión de la herramienta de prueba de penetración PowerShell Empire, detuvo varios productos antivirus e incluso desinstaló Windows Defender en algunos casos.

CERT-FR dice que al menos en un caso que analizaron, también encontraron una nueva versión del ransomware Pysa, que utilizaba el.nueva versión extensión de archivo en lugar de la anterior.pysa.

Sin debilidades de cifrado

Los investigadores dijeron que también analizaron el ransomware y sus algoritmos de cifrado, y no pudieron encontrar fallas de implementación que pudieran permitir a las víctimas eludir el pago del rescate y descifrar archivos de forma gratuita.

Según el CERT-FR, el código de ransomware Pysa es «específico y muy corto» y «está basado en bibliotecas públicas de Python».

Pero los ataques con Pysa no solo se limitan a Francia. En una entrevista con ZDNet sobre esta nueva pandilla de ransomware, analista de malware Emsisoft y creador de ID-Ransomware Michael Gillespie dijo que la pandilla de ransomware Pysa también ha causado víctimas fuera de Francia, en varios continentes, afectando tanto a redes gubernamentales como comerciales.

La alerta CERT-FR Mespinoza / Pysa está disponible aquí (solo en francés). CERT-FR a menudo traduce sus alertas al inglés después de unos días. Actualizaremos este artículo con un enlace a la alerta en inglés cuando esté disponible.

Último cazador de caza mayor

Mespinoza / Pysa es la última pandilla de ransomware que se involucra en una táctica llamada «caza mayor» o «ransomware operado por humanos», donde las pandillas de ransomware se dirigen a objetivos de alto perfil, rompen sus redes y luego instalan manualmente el ransomware en sus redes.

Esta táctica de focalización muy centrada está en marcado contraste con el enfoque de escopeta que las pandillas de ransomware han usado en el pasado, en el período 2015 – principios de 2019, cuando confiaban en gran medida en kits de exploits y correo no deseado para infectar a víctimas al azar.

Otras pandillas de ransomware que se dedican a la «caza mayor» son Ryuk, REvil (Sodinokibi), LockerGoga, RobbinHood, DoppelPaymer, Maze y muchos más.





Enlace a la noticia initial