Expertos analizaron las actividades del grupo de ciberextorsión PYSA

PYSA cyber-extortion group

Especialistas de la empresa suiza de ciberseguridad PRODAFT publican los resultados de un estudio de 18 meses sobre el grupo de ciberextorsión PYSA.

DEAMBULAR (un acrónimo para «PAGproteger Ynuestro Ssistema, Unmigo») es el sucesor de mespinoza Secuestro de datos.

Nota: Déjame recordarte que también dijimos que El grupo de hackers Lapsus$ robó los códigos fuente de los productos de Microsoft.

El malware fue descubierto por primera vez en diciembre. 2019 y fue el cuarto ransomware más utilizado en el último trimestre de 2021.

Desde septiembre 2020, el grupo ha robado información confidencial de 747 víctimas. En Enero 2022, sus servidores fueron caídos.

Grupo de ciberextorsión PYSA

Según Intel 471, La mayoría de las víctimas están en Estados Unidos. (59.2% de todos los ataques de PYSA) y el reino unido (13.1%). Más amenudo, PYSA atacó al gobierno, organizaciones educativas y de salud.

Se sabe que el grupo investiga cuidadosamente objetivos de alto valor antes de lanzar sus ataques., comprometer los sistemas empresariales y obligar a las organizaciones a pagar grandes rescates para restaurar sus datos. Están catalogados como uno de los grupos de ransomware más avanzados y que realizan sus operaciones fuera del radar..Nota de los investigadores de PRODAFT.

Como otros grupos de ciberransomware, PYSA utilizó una táctica de doble extorsión, Liberar los archivos robados de la víctima si se negó a pagar el rescate..

El malware cifró los archivos agregando el .deambular extensión. Para descifrarlos, se requería una clave RSA privada, que sólo se podía obtener pagando un rescate a los extorsionadores. Casi 58% de las víctimas que pagaron la cantidad requerida pudieron restaurar el acceso a sus archivos.

Nota: Quizás también te interese saber qué Expertos vinculados BlackCat (ALPHV) ransomware a los grupos BlackMatter y DarkSide.

Los especialistas de PRODAFT lograron encontrar una carpeta .git de acceso público administrada por operadores de PYSA y descubrieron el inicio de sesión de uno de los autores del proyecto. – [email protected].

La operación PYSA involucró al menos 11 cuentas, la mayoría de los cuales fueron creados en enero 8, 2021. 90% de toda la actividad en el panel de control de malware fue representada por cuatro cuentas – t1, t3, t4 y t5.

La infraestructura de PYSA también incluyó contenedores docker, incluidos servidores públicos de fugas, bases de datos, y servidores de comando y control, así como una nube de Amazon S3 para almacenar archivos cifrados.

La agrupación cuenta con el respaldo de desarrolladores competentes que aplican paradigmas operativos modernos al ciclo de desarrollo.. Esto indica un entorno profesional con una distribución bien organizada de responsabilidades., en lugar de una red mal conectada de piratas informáticos semiautónomos.los investigadores dijeron.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *