Threats
Investigadores dizem que o grupo de ransomware PYSA é “extremamente disciplinado” e deverá continuar ativo
09/08/2021
“Extremamente disciplinado”: é desta forma que a Palo Alto Networks descreve o grupo de ransomware conhecido como PYSA - Mespinoza ransomware group, depois de investigar a fundo os seus ataques de extorsão. "Eles pesquisam utilizando termos sensíveis como ilegal, fraude e criminoso. Por outras palavras, os hackers estão interessados em atividades ilegais conhecidas pela organização que possam fornecer uma alavanca para começar a negociação", explica Alex Hinchliffe, analista de inteligência de ameaças da Unit 42 na Palo Alto Networks, à ZDNet. A estratégia do grupo passa por infiltrar as redes através do Remote Desktop Protocol (RDP), procurando ficheiros que contenham informação sensível, que sugira que as vítimas estiveram ou estão envolvidas em atividades criminosas. O grupo alveja organizações por todo o mundo e pede resgates de milhões de dólares em troca da chave de desencriptação dos ficheiros, aplicando frequentemente táticas de dupla extorsão. "Muitas organizações têm serviços como o RDP exposto à internet e estão a expor-se ao risco de ataques lançados remotamente, negando a necessidade do ator da ameaça de criar e executar ataques de phishing a um custo muito maior", acrescentou Hinchliffe. A forma como as credenciais são roubadas é incerta, mas tendo conhecimento dos nomes de utilizador e passwords legítimas, os atacantes são capazes de permanecer nos sistemas sem serem detetados, criando espaço e tempo para desenvolverem o ataque dentro da rede. Por outro lado, os hackers garantem acesso aos sistemas através da instalação de uma backdoor, denominada Gasket. “Eles são relativamente novos, mas estão a causar um grande impacto devido à quantidade de vítimas que foram listadas no seu site, e provavelmente estão a extorquir muito dinheiro”, disse Hinchliffe. Os valores de resgate costumam ultrapassar 1,5 milhões de dólares, mas o grupo, de origem desconhecida, está disposto a negociar com as vítimas. Prevê-se que o PYSA continue em atividade pelo que é premente que as organizações empreguem medidas de prevenção, reforçando as palavras-passe e aplicando uma autenticação múltipla nas contas. "As organizações precisam de saber mais sobre a sua área de ataque porque sem saber da pegada do grupo, especialmente a parte conectada à Internet, é quase impossível ver o que está a acontecer, muito menos se defenderem contra isso", conclui Hinchliffe. |