Το FBI Cyber Division προειδοποιεί τους διαχειριστές συστημάτων και τους επαγγελματίες κυβερνοασφάλειας για αυξημένες επιθέσεις του Pysa ransomware με στόχο εκπαιδευτικά ιδρύματα. Η ειδοποίηση flash CP-000142-MW που εκδόθηκε στις 16 Μαρτίου από το FBI, σε συνεργασία με τη CISA, παρέχει μέτρα προστασίας από τις κακόβουλες ενέργειες αυτής της ransomware συμμορίας.
Διαβάστε επίσης: DearCry ransomware: Στοχεύει unpatched Microsoft Exchange servers
Συγκεκριμένα, η ειδοποίηση αναφέρει τα ακόλουθα: «Από τον Μάρτιο του 2020, το FBI έχει αντιληφθεί τις επιθέσεις του Pysa ransomware εναντίον αμερικανικών και άλλων κυβερνητικών φορέων, εκπαιδευτικών ιδρυμάτων, ιδιωτικών εταιρειών και υγειονομικών εγκαταστάσεων. Οι αναφορές του FBI έχουν δείξει μια πρόσφατη αύξηση στην δραστηριότητα του Pysa ransomware που στοχεύει εκπαιδευτικά ιδρύματα σε 12 πολιτείες των ΗΠΑ και στο Ηνωμένο Βασίλειο. Οι άγνωστοι χάκερς έχουν στοχεύσει συγκεκριμένα την τριτοβάθμια εκπαίδευση, σχολεία K-12 και σεμινάρια.»
Το FBI συνιστά στα θύματα να μην πληρώνουν τα λύτρα που τους ζητά η συμμορία του Pysa ransomware, δεδομένου ότι με αυτόν τον τρόπο θα χρηματοδοτήσουν μελλοντικές επιθέσεις και θα «ενθαρρύνουν» τη συμμορία να στοχεύσει κι άλλα πιθανά θύματα.
Ωστόσο, το FBI κατανοεί τις ζημίες που αντιμετωπίζουν τα εκπαιδευτικά ιδρύματα μετά από τέτοιες επιθέσεις, ενώ παράλληλα τα παροτρύνει να αναφέρουν τις επιθέσεις το συντομότερο δυνατό στο τοπικό γραφείο του FBI ή στο Internet Crime Complaint Center (IC3), ανεξάρτητα από την απόφασή τους να πληρώσουν για έναν αποκρυπτογράφο ή όχι.
Δείτε ακόμη: Αύξηση 26% σε phishing επιθέσεις με θέμα τα εμβόλια για τον COVID-19
Η αναφορά της επίθεσης θα παράσχει σημαντικές πληροφορίες όπως phishing emails, δείγματα ransomware, σημειώματα λύτρων και αρχεία καταγραφής κίνησης δικτύου, που θα μπορούσαν να βοηθήσουν στην πρόληψη ή την αντιμετώπιση μελλοντικών επιθέσεων, καθώς και στον εντοπισμό των επιτιθέμενων.
Το Pysa, γνωστό και ως Mespinoza, εντοπίστηκε για πρώτη φορά τον Οκτώβριο του 2019, όταν εταιρείες άρχισαν να αναφέρουν ότι ένα νέο ransomware χρησιμοποιείται για την κρυπτογράφηση των servers τους. Οι χειριστές του ransomware είναι γνωστοί για τη μη αυτόματη ανάπτυξη payloads με στόχο την κρυπτογράφηση των συστημάτων των θυμάτων μετά από ένα στάδιο αναγνώρισης, αφού αποκτήσουν πρόσβαση στα δίκτυά τους μέσω phishing emails ή χρησιμοποιώντας κλεμμένα/παραβιασμένα credentials πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP).
Πρόταση: Παραλλαγή του Masslogger Trojan κλέβει Outlook, Chrome credentials
Αυτή η ransomware συμμορία είναι επίσης γνωστή για την απενεργοποίηση λύσεων anti-malware και antivirus στα δίκτυα των θυμάτων της, προτού αναπτύξει ransomware payloads. Επιπλέον, η συμμορία κλέβει από τα δίκτυα των θυμάτων αρχεία που περιέχουν ευαίσθητα κι εμπιστευτικά δεδομένα, συμπεριλαμβανομένων προσωπικών στοιχείων αναγνώρισης (PII), στοιχείων μισθοδοσίας και άλλων τύπων δεδομένων, που θα μπορούσαν να χρησιμοποιηθούν ώστε να αναγκαστούν τα θύματα να πληρώσουν λύτρα, υπό την απειλή διαρροής των κλεμμένων δεδομένων.
Μετά την έρευνα δικτύου και τα στάδια προ-ανάπτυξης, οι χειριστές του Pysa «ρίχνουν» ένα εκτελέσιμο ransomware που προσθέτει μια custom επέκταση .pysa σε όλα τα κρυπτογραφημένα αρχεία, σε όλες τις συνδεδεμένες συσκευές Windows και Linux.
Ένα custom σημείωμα λύτρων «ρίχνεται» επίσης σε κρυπτογραφημένα συστήματα κατά τις επιθέσεις του Pysa ransomware. Το σημείωμα λύτρων περιλαμβάνει το όνομα του οργανισμού – θύματος, ένα link προς το Tor site του Pysa και ένα link προς το data leak site, όπου η ransomware συμμορία απειλεί να δημοσιεύσει τα κλεμμένα δεδομένα.
Το FBI κοινοποίησε επίσης μια λίστα με μέτρα που θα βοηθήσουν στον εντοπισμό και τον αποκλεισμό επιθέσεων του Pysa ransomware εναντίον εκπαιδευτικών ιδρυμάτων:
- Να δημιουργείτε τακτικά αντίγραφα ασφαλείας δεδομένων offline. Να διασφαλίζετε ότι δεν είναι προσβάσιμα αντίγραφα κρίσιμων δεδομένων για τροποποίηση ή διαγραφή από το σύστημα όπου βρίσκονται τα δεδομένα.
- Εφαρμόστε τμηματοποίηση δικτύου.
- Εφαρμόστε ένα recovery plan για να μπορείτε να διατηρήσετε και να ανακτήσετε πολλά αντίγραφα ευαίσθητων ή ιδιόκτητων δεδομένων και διακομιστών σε ένα φυσικά ξεχωριστό, τμηματοποιημένο, ασφαλές location (σκληρό δίσκο, συσκευή αποθήκευσης, το cloud).
- Να εφαρμόζετε updates/patches σε λειτουργικά συστήματα, software και firmware αμέσως μόλις κυκλοφορούν.
- Να χρησιμοποιείτε έλεγχο ταυτότητας πολλών παραγόντων (MFA) όπου είναι δυνατόν.
- Να αλλάζετε τακτικά τους κωδικούς πρόσβασης σε συστήματα δικτύου και λογαριασμούς και να αποφεύγετε να χρησιμοποιείτε τους ίδιους κωδικούς πρόσβασης σε διαφορετικούς λογαριασμούς.
- Να απενεργοποιήσετε τις αχρησιμοποίητες θύρες απομακρυσμένης πρόσβασης / RDP και να παρακολουθείτε αρχεία καταγραφής απομακρυσμένης πρόσβασης / RDP.
- Ελέγξτε τους λογαριασμούς χρηστών με δικαιώματα διαχειριστή και διαμορφώστε τα στοιχεία ελέγχου πρόσβασης.
- Να ενημερώνετε τακτικά τα anti-virus/anti-malware software σε όλους τους κεντρικούς υπολογιστές.
- Να χρησιμοποιείτε μόνο ασφαλή δίκτυα και να αποφεύγετε τη χρήση δημόσιων δικτύων Wi-Fi. Εξετάστε το ενδεχόμενο να εγκαταστήσετε και να χρησιμοποιήσετε ένα VPN.
- Εξετάστε το ενδεχόμενο να προσθέσετε email banner σε μηνύματα που δεν προέρχονται από τους οργανισμούς σας.
- Απενεργοποιήστε τα hyperlinks στα ληφθέντα email.
- Εστιάστε στην ευαισθητοποίηση και την εκπαίδευση. Να παρέχετε στους υπαλλήλους σας εκπαίδευση σχετικά με τις αρχές και τις τεχνικές ασφάλειας πληροφοριών, καθώς και για τις αναδυόμενες απειλές στον κυβερνοχώρο (π.χ ransomware, απάτες και phishing).
Πηγή: bleepingcomputer.com
