Tem como alvo instituições de ensino superior, provedores de saúde e empresas privadas nos Estados Unidos e além. Quão perigoso é Pysa, e como você pode identificá-lo?

Como funciona o ransomware Pysa?

Pysa significa “Proteja seu amigo do sistema”, que é uma frase incluída em uma nota de resgate deixada em dispositivos infectados. Os hackers usam e - mails de phishing , ataques de força bruta em servidores nos quais RDP (Remote Desktop Protocol) ou AD (Active Directory) está aberto para a Internet e técnicas de engenharia social para espalhar o ransomware Pysa e bloquear as vítimas de seus arquivos.

Pysa é categorizado como um ransomware-as-a-service (RaaS), o que significa que seus desenvolvedores oferecem ransomware para outras organizações criminosas que geralmente não têm recursos para produzir seus próprios programas maliciosos. A versão anterior deste ransomware era conhecida como Mespinoza.

Os malfeitores por trás da Pysa têm como alvo organizações de alto valor, como instituições governamentais ou provedores de saúde que são mais sensíveis ao momento. Imagine se um hospital tivesse os dados de seus pacientes bloqueados e não pudesse acessar seus sistemas de TI. Cada minuto desperdiçado pode ser fatal e causar danos à reputação, perdas financeiras e processos judiciais.

Quando o Pysa criptografa seus arquivos, todos eles adquirem a extensão de nome de arquivo .pysa. Digamos que você tenha um arquivo chamado “cat.avi”. Depois que seu dispositivo for infectado com ransomware, o nome do arquivo mudará para “cat.avi.pysa”. Os hackers também deixam instruções sobre como recuperar seus arquivos em um arquivo .txt, que contém um e-mail com o qual você precisa entrar em contato.

As vítimas também podem enviar dois arquivos (no máximo 2 MB) aos criminosos, para que eles possam descriptografá-los e provar que seus pedidos de resgate são graves.

Como o Pysa criptografa seus arquivos?

Pysa criptografa todos os arquivos não pertencentes ao sistema usando criptografia AES combinada com RSA. Mesmo se você excluir o ransomware de seu computador e restaurar seu sistema, seus arquivos ainda estarão inacessíveis.

Antes de criptografar seus arquivos, os hackers roubam todos os dados confidenciais do computador de destino, para que tenham vantagem contra você. Se você se recusar a atender aos pedidos de resgate, eles podem despejar todos os dados roubados na dark web.

No entanto, você nunca pode ter certeza se os hackers irão descriptografar seus arquivos, mesmo depois de pagá-los. Os especialistas em segurança cibernética desencorajam as pessoas a pagar criminosos e alimentar seu modelo de negócios.

Os ataques de ransomware Pysa mais notórios

Em maio de 2020, a MyBudget, uma empresa australiana de serviços financeiros, foi atingida por Pysa e ficou fora de serviço por quase duas semanas. Os criminosos postaram o nome do MyBudget na dark web junto com os de outras empresas que hackearam com sucesso, pressionando-os a pagar o resgate. O nome da empresa foi posteriormente removido da dark web, sugerindo que eles negociaram com hackers e atenderam às suas demandas.

Em outubro de 2020, o Hackney Council em Londres confirmou que havia sido vítima de um ataque de ransomware Pysa , que afetou seus serviços de TI. Vários meses depois, os criminosos despejaram um monte de seus dados roubados online, contendo detalhes do passaporte, documentos de identidade com foto e informações da equipe.

Em abril de 2021, as Escolas Públicas de Haverhill em Massachusetts foram fechadas depois que o ransomware Pysa atacou seus sistemas de computador. As escolas públicas são especialmente vulneráveis ​​a ataques cibernéticos, pois muitas delas usam software desatualizado e sua equipe não tem treinamento em segurança cibernética. O FBI afirma que Pysa foi usado contra várias escolas nos Estados Unidos e no Reino Unido e continua em busca de novas vítimas.

Como melhorar sua segurança

Treine sua equipe. Conscientizar seus funcionários sobre e-mails de phishing e ransomware é a chave para combater os criminosos cibernéticos com sucesso. Muitas organizações realizam simulações de phishing, para que seus funcionários possam aprender como identificar e-mails maliciosos.

Atualize seu software na hora certa. O adiamento das atualizações de software pode colocar um dispositivo em sério risco, pois os criminosos podem explorar um bug que foi corrigido meses atrás. Mesmo em empresas globais, você ainda pode encontrar funcionários executando versões antigas de software que deveriam ter sido atualizados várias vezes.

Use senhas fortes. Certifique-se de usar letras maiúsculas e minúsculas combinadas com caracteres especiais e números em suas senhas . É importante criar senhas exclusivas para todas as suas contas, pois uma conta comprometida pode abrir as portas para todos os serviços que você usa.

Faça back up de seus arquivos. Muitas pessoas acham que nada vai acontecer com elas até que aconteça. Não corra riscos desnecessários e sempre faça backup de seus dados confidenciais. Você nunca pode ter certeza se não vai acabar com malware , ransomware ou qualquer outro programa malicioso em seu computador.

Use uma VPN. Uma VPN redireciona seus dados de internet através de um túnel criptografado, melhorando assim sua segurança online. Se você costuma se conectar a redes públicas, ter uma VPN habilitada em seu dispositivo é crucial para permanecer seguro. Com uma VPN, você pode proteger seus dispositivos. Embora uma VPN não proteja diretamente contra a infecção por malware, ela aumentará substancialmente a segurança geral.