Diario Informe

El FBI advierte sobre la escalada de ataques de ransomware Pysa contra organizaciones educativas

El FBI advierte sobre la escalada de ataques de ransomware Pysa contra organizaciones educativas

La División Cibernética de la Oficina Federal de Investigaciones (FBI) advirtió a los administradores de sistemas y a los profesionales de la seguridad cibernética sobre el aumento de la actividad de ransomware Pysa dirigida a instituciones educativas.

La alerta flash CP-000142-MW emitida hoy por el FBI ha sido coordinada con DHS-CISA y proporciona indicadores de compromiso para ayudar a proteger contra las acciones maliciosas de esta banda de ransomware.

"Desde marzo de 2020, el FBI se ha enterado de los ataques de ransomware PYSA contra entidades gubernamentales estadounidenses y extranjeras, instituciones educativas, empresas privadas y el sector de la salud por parte de ciberactores no identificados", dijo el FBI. Él dice en el TLP: advertencia intermitente BLANCA.

"Los informes del FBI indicaron un aumento reciente del ransomware PYSA dirigido a instituciones educativas en 12 estados de EE. UU. Y el Reino Unido. Ciberactores no identificados se dirigieron específicamente a la educación superior, las escuelas primarias y secundarias y los seminarios".

El FBI desaconseja el pago de rescates de ransomware de Pysa, ya que ceder a sus demandas probablemente financiará futuros ataques de ransomware y los alentará a apuntar a otras víctimas potenciales.

Sin embargo, el FBI comprende el daño que enfrentan las instituciones educativas como resultado de tales ataques y les insta a reportar los ataques lo antes posible a la oficina local del FBI o Centro de quejas de delitos en Internet (IC3), independientemente de su decisión de pagar a un descifrador o no.

El informe de ataque proporcionará "información crítica" como correos electrónicos de phishing, muestras de ransomware, notas de rescate y registros de tráfico de red que podrían ayudar a prevenir o frustrar futuros ataques, así como identificar y responsabilizar a los atacantes por sus actividades dañinas.

Tácticas de ransomware Pysa

Pysa (también conocido como Mespinoza) se vio por primera vez en octubre de 2019, cuando las empresas comenzaron a informar que el nuevo ransomware se estaba utilizando para cifrar sus servidores.

Los operadores de ransomware son conocidos por distribuir manualmente cargas útiles para cifrar los sistemas de las víctimas después de una fase de reconocimiento, después de obtener acceso a sus redes a través de correos electrónicos de phishing o usar credenciales de Protocolo de escritorio remoto (RDP) robadas o comprometidas.

Esta banda de ransomware también es conocida por deshabilitar las soluciones antivirus y antimalware en las redes de las víctimas antes de distribuir las cargas útiles de ransomware.

También recopilan y exfiltran archivos confidenciales de las redes de víctimas, incluida información de identificación personal (PII), información de impuestos sobre la nómina y otros tipos de datos que podrían usarse para obligar a las víctimas a pagar un rescate bajo la amenaza de divulgar la información robada.

Después de la encuesta de red y los pasos previos a la implementación, los actores de Pysa lanzan un ejecutable de ransomware que agrega una extensión .pysa personalizada a todos los archivos cifrados en todos los dispositivos Windows y Linux conectados.

También se emite una nota de rescate personalizada en los sistemas cifrados en los ataques de ransomware de Pysa, una nota de rescate que incluye el nombre de la organización, un enlace al sitio Tor de Pysa y un enlace al sitio de filtración de datos donde el ransomware amenaza con publicar los datos robados.

Pysa ransomware
Sitio de fuga de datos de Pysa / Mespinoza
Índice de contenidos
  1. Tácticas de ransomware Pysa
  • Aviso de mayor actividad maliciosa dirigida a K-12

    • Aviso de mayor actividad maliciosa dirigida a K-12

    En diciembre, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) también advirtieron a los atacantes que tenían como objetivo instituciones educativas K-12 en los Estados Unidos.

    Las tres agencias gubernamentales advirtieron que los ataques de ransomware, malware y DDoS son las principales amenazas para las instituciones de educación primaria y secundaria después de que dichos ataques se intensificaron a principios del año escolar, y los ciberdelincuentes amenazaron con filtrar datos robados durante los ataques a menos que fuera un rescate. pagado.

    El aviso conjunto también advirtió sobre los ataques DDoS que causan interrupciones en las operaciones normales en la industria K-12 y destacó los riesgos relacionados con la ingeniería social a través de phishing, typosquatting de dominios contra estudiantes, padres, profesores o personal de TI.

    Se recomendó a las instituciones de educación primaria y secundaria que hicieran un curso conjunto de acciones que, junto con las firmas Snort creadas por CISA para detectar y proteger contra ataques de malware observados, deberían complementar otros métodos de defensa.

    En enero, el FBI envió otro aviso de seguridad advirtiendo a las empresas del sector privado sobre los ataques de ransomware Egregor que atacan y extorsionan activamente a empresas de todo el mundo.

    Hoy, el FBI también compartió una lista de mitigaciones recomendadas que deberían ayudar a detectar y detener los ataques de ransomware Pysa contra instituciones educativas:

    • Realice regularmente copias de seguridad de los datos fuera de línea, proteja las copias de seguridad con contraseña y las lagunas de aire. Asegúrese de que las copias de los datos críticos no estén accesibles para su modificación o eliminación del sistema donde residen los datos.
    • Implementar la segmentación de la red.
    • Implementar un plan de recuperación para mantener y mantener múltiples copias de datos y servidores confidenciales o patentados en una ubicación físicamente separada, segmentada y segura (por ejemplo, disco duro, dispositivo de almacenamiento, nube).
    • Instale actualizaciones / parches de SO, software y firmware tan pronto como se publiquen.
    • Utilice la autenticación multifactor siempre que sea posible.
    • Cambie las contraseñas de los sistemas y las cuentas de red con regularidad y evite reutilizar las contraseñas de diferentes cuentas. Implemente el período de tiempo más corto aceptable para los cambios de contraseña.
    • Desactive los puertos de acceso remoto / RDP no utilizados y supervise los registros de acceso remoto / RDP.
    • Verifique las cuentas de usuario con privilegios administrativos y configure los controles de acceso teniendo en cuenta los privilegios mínimos.
    • Instale y actualice periódicamente software antivirus y antimalware en todos los hosts.
    • Utilice solo redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
    • Considere agregar un banner de correo electrónico a los mensajes de fuera de su organización.
    • Deshabilite los hipervínculos en los correos electrónicos recibidos.
    • Centrarse en la sensibilización y la formación. Brindar capacitación a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades emergentes de ciberseguridad (por ejemplo, ransomware y estafas de phishing).

    Descubre más contenido

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir Change privacy settings