El grupo de ransomware Pysa arrojó a docenas de víctimas a su sitio de filtración esta semana justo después de que las fuerzas del orden de EE. UU. anunciaran una serie de acciones tomadas contra los grupos de ransomware.
Se agregaron los nombres de más de 50 empresas, universidades y organizaciones al sitio de fugas del grupo de ransomware.
El grupo, que también se conoce con el nombre de Mespinoza, fue llamado por el FBI en marzo por atacar específicamente «la educación superior, las escuelas K-12 y los seminarios». El FBI dijo que al menos 12 instituciones educativas en los EE. UU. y el Reino Unido habían sido atacadas con el ransomware. La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información emitió una alerta similar un año antes.
Múltiples expertos en ransomware cuestionaron el momento de la fuga y señalaron que Pysa tiene una inclinación por esperar para agregar víctimas a su sitio de fuga.
El experto en ransomware de Recorded Future, Allan Liska, le dijo a MarketingyPublicidad.es que no creía que todas las víctimas publicadas en el sitio fueran nuevas.
«Hemos visto que tardan seis meses, e incluso más, desde que golpean a la víctima por primera vez hasta que [stolen data] se publica», dijo Liska. «Estas podrían ser todas las víctimas que han estado retrasando en la publicación de datos, pero representaría más víctimas de las que hemos visto de ellos el resto del año. Son muchas organizaciones diferentes, de todo el mundo, sin ningún tema».
El analista de amenazas de Emsisoft, Brett Callow, le dijo a MarketingyPublicidad.es que Pysa nombra y avergüenza a sus víctimas semanas, o a veces meses, después de que ocurren los ataques, diferenciándolo de otros grupos de ransomware.
La razón por la que esperaron tanto tiempo para filtrar información de las víctimas aún no está clara, dijo, y agregó que era curioso que arrojaran tantos nombres a la vez.
Una muestra del sitio de la fuga. Brett Callow
El vertedero se produjo cuando las fuerzas del orden en los EE. UU., Europa y otras regiones tomaron medidas contundentes contra varios grupos de ransomware.
Los funcionarios estadounidenses del Departamento de Justicia, el Tesoro y el FBI anunciaron una lista de acciones tomadas contra algunos de los miembros del grupo de ransomware REvil, así como sanciones contra las organizaciones que ayudan a los grupos de ransomware a lavar fondos ilícitos.
Las agencias estadounidenses han estado trabajando con Europol, Eurojust, Interpol y otras organizaciones encargadas de hacer cumplir la ley en la «Operación GoldDust» para interrumpir múltiples grupos de ransomware durante los últimos seis meses. Diecisiete países han participado en el esfuerzo y decenas de personas han sido arrestadas en toda Europa en relación con grupos de ransomware.
Todo esto siguió a una operación para derribar la infraestructura de REvil que llevó al grupo a cerrar la tienda por segunda vez.
Tanto Callow como Liska dijeron que el momento del vertedero de Pysa era curioso considerando las acciones que estaban tomando las fuerzas del orden.
«Uno no puede evitar preguntarse si lo hacen ahora en respuesta a las noticias en relación con REvil, ya sea un dedo medio a las fuerzas del orden público o, tal vez, una expresión de confianza en caso de que alguno de sus afiliados comience a tener problemas». pies fríos», dijo Callow a MarketingyPublicidad.es.
Liska se hizo eco de que sentía que Pysa estaba «mostrando el dedo» a las fuerzas del orden después de un mal día para los grupos de ransomware.
El FBI dijo en su aviso de marzo que Pysa, que se vio por primera vez en 2019, es conocida por extraer datos de las víctimas antes de cifrar sus sistemas «para usarlos como palanca para obtener pagos de rescate».
Señalaron que además de los ataques a las instituciones educativas, Pysa también persiguió a entidades gubernamentales extranjeras, instituciones educativas, empresas privadas y el sector de la salud.
“En incidentes anteriores, los ciberactores extrajeron registros de empleo que contenían información de identificación personal (PII), información de impuestos sobre la nómina y otros datos que podrían usarse para extorsionar a las víctimas para que pagaran un rescate”, dijo el FBI en el aviso. «Los actores cibernéticos han subido datos robados a MEGA.NZ, un servicio de almacenamiento en la nube y uso compartido de archivos, cargando los datos a través del sitio web de MEGA o instalando la aplicación cliente de MEGA directamente en la computadora de la víctima. Sin embargo, en el pasado, los actores tenían usó otros métodos de extracción de datos que dejan menos evidencia de lo que fue robado».
Emsisoft publicó un perfil del grupo de ransomware en julio, y señaló que operan con el modelo comercial de ransomware como servicio y descargan rutinariamente los datos robados «incluso después de que la empresa víctima haya pagado el rescate».
Advirtieron a las víctimas sobre la cooperación con el grupo y explicaron que la herramienta de descifrado de Emsisoft «puede descifrar de forma segura los datos cifrados por Mespinoza, siempre que la víctima haya obtenido las claves de descifrado».
«Desde que se descubrió Mespinoza por primera vez, ha habido 531 envíos a ID Ransomware, una herramienta en línea que ayuda a las víctimas de ransomware a identificar qué ransomware ha cifrado sus archivos», escribieron los investigadores de Emsisoft en julio.
«Estimamos que solo el 25 por ciento de las víctimas realizan una presentación a ID Ransomware, lo que significa que puede haber un total de 2124 incidentes de Mespinoza desde el inicio del ransomware. Durante este tiempo, el grupo también ha publicado en su sitio de fugas los datos robados de al menos 104 organizaciones».
