Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datos

  • Publicado: 23/11/2020
  • Importancia: Media

Descripcion

En el procedimiento de infección, se descarga y ejecuta un script de PowerShell que finaliza diversos procesos del sistema y mantiene en ejecución el protocolo RDP para exfiltrar la información recopilada hacia un servidor comando y control C2. En seguida es ejecutado el ransomware encargado para cifrar los archivos de los equipos comprometidos agregando la extensión .pysa.

La ejecución de esta amenaza cibernética permite: 

  • Persistencia mediante programación de tareas para ejecutar archivo malicioso.
  • Volcado de credenciales a través del administrador de tareas.
  • Acceso a copia shadow ntds.dit, que almacena información de objetos (usuarios, equipos, etc) del dominio dentro del directorio activo.
  • Ejecución de malware variado en los controladores de dominio del sistema comprometido.
  • Almacenar LSA Secrets en Koadic.
  • Uso de tres canales C2; RDP, PowerShell Empire y Koadic.

 Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas