Analisi di un collettivo ransomware che ha preso di mira le principali istituzioni americane e inglesi.

Pysa è un nome che non passa inosservato nell’ambiente dei cybersecurity analyst, in quanto è sinonimo di un annoso problema che ha dato filo da torcere anche al più esperto del settore. Nello specifico non si tratta solo di un ransomware, ma di un vero e proprio collettivo di hacker originatosi in Messico.
A prima vista il nome non significa molto, se non un rimando inglesizzato alla città italiana di Pisa.

In realtà Pysa è l’acronimo di Protect Your System Amigo, una frase beffarda che veniva lasciata come souvenir a tutti coloro che incappano in un attacco.
In particolare, le istituzioni scolastiche e amministrative sono risultate il principale obiettivo degli attacchi.

Ma andiamo con ordine e affrontiamo per gradi l’argomento.

pysa ransomware

Il collettivo Pysa e il ransomware

Pysa è un ransomware messo a punto dal collettivo dello stesso nome a fine 2018, come variante molto più pericolosa e perfezionata del malware Mespinoza. Individuato per la prima volta a ottobre 2019, Pysa si è reso protagonista di una serie di attacchi ad enti governativi, istituti scolastici, compagnie private e organizzazioni sanitarie.

Un attacco tipico del collettivo consiste nell’ottenere un accesso non autorizzato alle reti delle loro vittime, compromettendo le credenziali del protocollo di desktop remoto (RDP – Remote Desktop Protocol), o mediante le classiche e-mail di phishing. Una volta penetrati nel sistema e attivati gli strumenti da remoto, i cyber criminali eseguono la disattivazione mirata delle protezioni, quali antivirus, firewall e ISP, per poi eseguire il deploy del ransomware vero e proprio.

Durante il processo di estrazione dei dati dai sistemi della vittima, il ransomware si occupa non solo della criptazione dei file, ma anche di rendere tutte le informazioni private inaccessibili agli utenti.
Al termine del deploy, Pysa mostra come di consueto un messaggio per avvisare le vittime dell’attacco appena portato a termine.
Ciò che però ha lasciato il segno, è stato il loro approccio, in quanto, oltre alle classiche e-mail di contatto per chiedere l’ammontare del riscatto, viene lasciato anche un FAQ che spiega come comportarsi, unita ad una frase peculiare da cui deriva l’acronimo del collettivo:

Q: What to tell my boss?
A: Protect Your System Amigo.

A questa beffa si aggiunge l’aggravante della doppia estorsione. Se le vittime si rifiutano di pagare l’ammontare del riscatto richiesto, il collettivo Pysa minaccia di diffondere i loro dati personali online o di rivenderli per profitto. A tal proposito si rifiutano di definire i loro bersagli come vittime, bensì come partner commerciali.

Come agisce il ransomware nel sistema?

Essendo un “cugino” del malware Mespinoza, Pysa è un ransomware che agisce mediante l’azione umana diretta, in quanto incapace di propagarsi autonomamente all’interno del sistema vittima.
Le indagini condotte dell’FBI hanno messo in luce come i criminali si siano serviti di specifici tool per impadronirsi delle credenziali utente e spiare ogni loro movimento in rete, in particolare:

  • PowerShell Empire
  • Koadic
  • PsExec
  • Mimikatz

Una volta effettuato il deploy, il ransomware esegue una propria istanza atta a creare un elenco dei drive presenti nel sistema in cui si è insediato.
A questo segue un vero e proprio thread nei processi del sistema operativo, che porta all’enumerazione dei file e alla loro criptazione mediante l’algoritmo di criptazione simmetrica AES-CBC.

Quest’ultima avviene in due fasi, che portano ai seguenti risultati:

  1. Vengono criptati solo i file con dimensione maggiore di 1 KB.
  2. Sono esclusi dal processo determinati files presenti in una blacklist.
    Questa include:
    o File critici per il sistema operativo, come pagefile.sys
    o Windows Boot Manager
    o System Volume Information
    o Files con estensione .exe, .search-ms, .sys, .README, .pysa

Al loro termine Pysa rilascia un file README.README in ogni cartella dei drive infettati. Quest’ultimo contiene al suo interno:

  • Lo slogan Protect Your System Amigo.
  • La tattica della doppia estorsione mediante testo che informa le vittime della compromissione dei loro sistemi e che i loro dati personali possono diventare di pubblico dominio, o rivenduti, in caso di mancato pagamento del riscatto.
  • Un link diretto al loro sito su cui verranno pubblicati i dati trafugati.
  • Una lista di indirizzi e-mail per mettersi in contatto con il collettivo.

Attacchi ransomware Pysa noti

Gli attacchi del collettivo Pysa sono dilagati tra il 2020 e il 2021, cosa che ha reso il loro ransomware il terzo più grande ceppo al mondo, appena dietro LockBit 2.0 e Conti. Attraverso i numerosi report stilati sia dall’FBI, che dagli esperti di sicurezza informatica, le nazioni più colpite da Pysa sono stati gli Stati Uniti d’America e il Regno Unito.
Di seguito sono riportati alcuni degli attacchi più noti del collettivo.

My Budget

Nel maggio 2020, la compagnia finanziaria australiana My Budget andò offline per circa due settimane, a seguito delle quali sul blog di Pysa apparvero i dati sensibili e le informazioni riservate della compagnia. Subito dopo My Budget dichiarò di essere stata vittima di un attacco ransomware del collettivo.
Istituti scolastici americani
Ben dodici istituti scolastici americani furono attaccati tra ottobre 2020 e maggio 2021, a seguito di alcune ondate di ransomware Pysa. Tra le vittime ricordiamo scuole e università negli stati di:

  • Texas
  • Illinois
  • Connecticut
  • Nebraska
  • Missouri
  • Indiana

L’attacco seguiva la prassi tipica del collettivo: dati criptati, richiesta di riscatto agli istituti in cambio della chiave di decriptazione e il consueto messaggio beffardo.

Municipio di Hackney

Nell’ottobre 2020 nel Regno Unito si verificò un attacco da parte di Pysa al municipio di Hackney, un borgo di Londra.
La fuga di dati si tradusse nell’incapacità da parte dell’autorità di elaborare i pagamenti dei sussidi degli alloggi o di quelli destinati al loro acquisto vero e proprio. Anche in questo caso i dati trafugati furono pubblicati sul blog del collettivo.

La fine del collettivo Pysa

A partire da gennaio 2022 le attività di Pysa si sono drasticamente ridotte, con sempre meno attacchi rilevati e anche meno diffusione del ransomware stesso. La situazione è apparsa ancora più fumosa quando i server del suo blog sono stati spenti improvvisamente senza alcuna spiegazione: cosa che ha spinto i più a credere che i suoi membri si fossero uniti ad altri collettivi di criminali.
Tuttavia, ad aprile 2023 è arrivata una conferma da parte dell’FBI, che, mediante un report, ha annunciato l’identificazione e il conseguente arresto di tutti i suoi membri. È stato inoltre reso noto che le vittime accertate del collettivo è pari a 747, con la maggior parte di questi residenti in America.

Ma oltre a ciò è emersa anche una triste verità: solo il 58% di coloro che hanno pagato il riscatto è stato in grado di ripristinare l’accesso ai propri file.

Come proteggersi dal ransomware Pysa e dai suoi derivati

Alla luce di quanto discusso nei paragrafi precedenti, emerge che i ransomware sono in continuo mutamento, cosa che rende necessario monitorare costantemente l’attività online.

Di seguito sono riportati alcuni consigli per proteggersi efficacemente:

  1. Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
    Bisogna sempre assicurarsi che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza.
    Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.
  2. Adottare una soluzione di filtraggio e-mail efficace. Poiché solitamente i ransomware sfruttano come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e messaggi contenenti file malevoli sin dal principio.
  3. Implementare un piano di monitoraggio degli endpoint affidabile. Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Per cui rafforzare la sicurezza delle stesse si rende non solo essenziale, ma tassativo, in quanto una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
  4. Istruire i propri dipendenti sulle migliori pratiche e limitare i loro privilegi utente.
    In genere i principali attacchi non provengono tanto attraverso la compagnia, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria sicurezza, ma aiuta anche i clienti a proteggersi.

In conclusione

Pysa è stato senza dubbio uno dei più grandi attori nella scena ransomware e i dati riportati dovrebbero far riflettere, in quanto non sempre è possibile decriptare i file dopo che si è stati vittima di un attacco.
Come sempre prevedere un attacco ransomware è pressoché impossibile, ma prendere le giuste precauzioni per prevenirlo, o ridurre drasticamente i danni, è la soluzione migliore.