La División Cibernética de la Oficina Federal de Investigaciones (FBI) advirtió a los administradores de sistemas y a los profesionales de la seguridad cibernética sobre el aumento de la actividad de ransomware Pysa dirigida a instituciones educativas.
La alerta flash CP-000142-MW emitida hoy por el FBI fue coordinada con DHS-CISA y proporciona indicadores de compromiso para ayudar a protegerse contra las acciones maliciosas de esta banda de ransomware.
“Desde marzo de 2020, el FBI se ha enterado de los ataques de ransomware PYSA contra entidades gubernamentales, instituciones educativas, empresas privadas y el sector de la salud de EE. UU. Y el extranjero por parte de ciber actores no identificados”, dice el FBI en la alerta flash TLP: WHITE.
“Los informes del FBI han indicado un aumento reciente en el ransomware PYSA dirigido a instituciones educativas en 12 estados de EE. UU. Y el Reino Unido. Los ciber actores no identificados se han dirigido específicamente a la educación superior, las escuelas K-12 y los seminarios”.
El FBI recomienda no pagar los rescates de Pysa ransomware, ya que ceder a sus demandas probablemente financiará futuros ataques de ransomware y los alentará a apuntar a otras víctimas potenciales.
Sin embargo, el FBI comprende los daños que enfrentan las instituciones educativas después de tales ataques y los insta a informar los ataques lo antes posible a la oficina local del FBI o al Centro de Quejas de Delitos en Internet (IC3) , independientemente de su decisión de pagar por un descifrador o no.
Informar el ataque proporcionará “información crítica” como correos electrónicos de phishing, muestras de ransomware, notas de rescate y registros de tráfico de red que podrían ayudar a prevenir o contrarrestar futuros ataques, así como identificar y responsabilizar a los atacantes por su actividad maliciosa.
Tácticas de ransomware Pysa
Pysa (también conocido como Mespinoza) se detectó por primera vez en octubre de 2019 cuando las empresas comenzaron a informar que se estaba utilizando un nuevo ransomware para cifrar sus servidores.
Los operadores de ransomware son conocidos por implementar manualmente las cargas útiles para cifrar los sistemas de las víctimas después de una etapa de reconocimiento, después de obtener acceso a sus redes a través de correos electrónicos de phishing o usar credenciales de Protocolo de escritorio remoto (RDP) robadas o comprometidas.
Esta banda de ransomware también es conocida por deshabilitar las soluciones antivirus y antimalware en las redes de sus víctimas antes de implementar las cargas útiles de ransomware.
También recopilan y exfiltran archivos confidenciales de las redes de las víctimas, incluida información de identificación personal (PII), información de impuestos sobre la nómina y otros tipos de datos que podrían usarse para obligar a las víctimas a pagar un rescate bajo la amenaza de filtrar la información robada. .
Después de la encuesta de red y las etapas previas a la implementación, los actores de Pysa lanzarán un ejecutable de ransomware que agrega una extensión .pysa personalizada a todos los archivos cifrados en todos los dispositivos Windows y Linux conectados.
También se coloca una nota de rescate personalizada en los sistemas cifrados en los ataques de ransomware de Pysa, una nota de rescate que incluye el nombre de la organización, un enlace al sitio Tor de Pysa y un enlace al sitio de filtración de datos donde la banda de ransomware amenaza con publicar los datos robados.
Sitio de fuga de datos de Pysa / MespinozaAdvertencia de mayor actividad maliciosa dirigida a K-12
En diciembre, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) también advirtieron a los actores maliciosos que atacan a las instituciones educativas K-12 en los EE. UU.
Las tres agencias gubernamentales advirtieron que los ataques de ransomware, malware y DDoS son las principales amenazas para las instituciones educativas K-12 después de que tales ataques aumentaron al comienzo del año escolar, y los ciberdelincuentes amenazaron con filtrar datos robados en los ataques a menos que se solicitara un rescate. pagado.
El aviso conjunto también advirtió sobre los ataques DDoS que causan interrupciones en las operaciones normales en el sector K-12 y destacó los riesgos relacionados con la ingeniería social a través de phishing, typosquatting de dominios contra estudiantes, padres, profesores o personal de TI.
Se recomendó a las instituciones educativas K-12 que tomaran un conjunto de acciones que, junto con las firmas Snort creadas por CISA para detectar y proteger contra ataques con malware observado, deberían complementar otros métodos de defensa.
En enero, el FBI envió otra alerta de seguridad advirtiendo a las empresas del sector privado de los ataques de ransomware Egregor dirigidos activamente y extorsionando a empresas de todo el mundo.
Hoy, el FBI también compartió una lista de mitigaciones recomendadas que deberían ayudar a detectar y bloquear los ataques de ransomware Pysa contra instituciones educativas:
- Realice regularmente copias de seguridad de datos, espacio de aire y copias de seguridad protegidas con contraseña fuera de línea. Asegúrese de que no se pueda acceder a copias de datos críticos para su modificación o eliminación del sistema donde residen los datos.
- Implementar la segmentación de la red.
- Implemente un plan de recuperación para mantener y retener múltiples copias de datos y servidores confidenciales o patentados en una ubicación segura, segmentada y físicamente separada (es decir, disco duro, dispositivo de almacenamiento, la nube).
- Instale actualizaciones / parches de sistemas operativos, software y firmware tan pronto como se publiquen.
- Utilice la autenticación multifactor siempre que sea posible.
- Con regularidad, cambie las contraseñas de los sistemas de red y las cuentas, y evite reutilizar las contraseñas de diferentes cuentas. Implemente el plazo más corto aceptable para los cambios de contraseña.
- Desactive los puertos de acceso remoto / RDP no utilizados y supervise los registros de acceso remoto / RDP.
- Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso teniendo en cuenta los privilegios mínimos.
- Instale y actualice periódicamente software antivirus y antimalware en todos los hosts.
- Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
- Considere agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
- Deshabilite los hipervínculos en los correos electrónicos recibidos.
- Centrarse en la sensibilización y la formación. Brinde a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades de ciberseguridad emergentes generales (es decir, ransomware y estafas de phishing).
Fuente: documentcloud.org.