O Mespinoza (ou Pysa) criptografa todos os arquivos no computador da vítima, adicionando uma extensão ‘.locked’ e depois chantageia o usuário
A equipe do CERT da França emitiu um alerta por causa do recebimento de vários relatórios indicando que houve ataques cibernéticos nas redes de prefeituras. No sábado da semana passada, dia 14 de Março, a prefeitura de Marselha foi atingida por um ataque desse tipo. Ao que tudo indica, os ataques relatados pelo CERT foram feitos com o uso de uma nova versão do ransomware Mespinoza, também conhecido como Pysa ransomware.
O Mespinoza foi detectado pela primeira vez em outubro do ano passado. Como é comum em outras famílias de ransomware, o Mespinoza criptografa todos os arquivos no computador da vítima, adicionando uma extensão ‘.locked’ a todos os arquivos bloqueados e depois chantageia o usuário para que pague dinheiro em troca de uma suposta chave de descriptografia. Em dezembro de 2019, surgiu uma nova versão do Mespinoza, que usava a extensão .pysa, daí o apelido “Pysa ransomware”.
De acordo com o comunicado do CERT-FR, a equipe ainda está buscando descobrir de que modo os operadores do Mespinoza / Pysa estão comprometendo as redes de vítimas, mas algumas pistas sugerem que a quadrilha pode ter lançado ataques de força bruta contra consoles de gerenciamento e contas do Active Directory do Windows Server.
Algumas prefeituras atingidas relataram ter visto conexões RDP não autorizadas em seus controladores de domínio. O grupo responsável pelo Pysa também usa scripts Batch e PowerShell, bem como uma versão da ferramenta de pentest do PowerShell Empire. Eles também são capazes de contornar o Microsoft Defender e vários outros antivírus.
O CERT-FR disse que a análise do Pysa ransomware não revelou nenhum erro de implementação que permitisse às vítimas evitar o pagamento do resgate e descriptografar arquivos gratuitamente. Segundo os especialistas, o código do ransomware da Pysa é “específico e muito curto” e “baseado em bibliotecas públicas do Python”.