-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datos
- Publicado: 23/11/2020
- Importancia: Media
- Descripcion
-
En el procedimiento de infección, se descarga y ejecuta un script de PowerShell que finaliza diversos procesos del sistema y mantiene en ejecución el protocolo RDP para exfiltrar la información recopilada hacia un servidor comando y control C2. En seguida es ejecutado el ransomware encargado para cifrar los archivos de los equipos comprometidos agregando la extensión .pysa.
La ejecución de esta amenaza cibernética permite:
- Persistencia mediante programación de tareas para ejecutar archivo malicioso.
- Volcado de credenciales a través del administrador de tareas.
- Acceso a copia shadow ntds.dit, que almacena información de objetos (usuarios, equipos, etc) del dominio dentro del directorio activo.
- Ejecución de malware variado en los controladores de dominio del sistema comprometido.
- Almacenar LSA Secrets en Koadic.
- Uso de tres canales C2; RDP, PowerShell Empire y Koadic.
Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas