El ransomware es una amenaza que es capaz de cifrar todo un sistema o todos sus archivos. Es uno de los ataques más graves que podemos sufrir y en los últimos años se ha incrementado bastante. Ahora bien, en este artículo vamos a hablar de una nueva campaña que muestra qué tipo de archivos va a robar a la víctima y posteriormente pedir un rescate a cambio.
El ransomware Pysa muestra los archivos que busca
Un ataque de ransomware normalmente tiene dos objetivos: cifrar los sistemas y archivos o robar esos archivos para posteriormente amenazar con hacerlos públicos. En ambos casos va a pedir un rescate a cambio para que eso no ocurra. Esto es algo que puede afectar tanto a usuarios particulares como también a empresas y organizaciones.
Pero claro, lo normal es que cifre todo tipo de archivos o incluso el sistema entero. De esta forma la víctima no puede acceder y tendría que pagar un rescate (que muchas veces no sirve de nada) o utilizar un software de descifrado en caso de que haya para esa variedad. La novedad con Pysa es que muestra exactamente qué archivos son los que busca.
Concretamente lo hace a través de un script de PowerShell, como han detectado los investigadores de seguridad detrás de este descubrimiento. Es script lo diseñan para rastrear las unidades de almacenamiento y, en caso de que encuentren algo de lo que buscan, roban los archivos.
Busca archivos valiosos
Entonces, ¿qué tipo de archivos busca el ransomware Pysa? Ese script que mencionamos tiene un total de 123 palabras clave que va a servir para que este malware robe los archivos que realmente le interesa. Lógicamente se trata de documentos que van a tener cierto valor y con los que podrá extorsionar a ese usuario o empresa.
Principalmente buscan archivos relacionados con la información financiera, datos de una empresa, auditorías, información bancaria, credenciales para iniciar sesión, datos relacionados con impuestos, números de seguridad social, etc.
Toda esta información es sensible y pueden extorsionar con ella. A ninguna empresa le gustaría que sus datos financieros, así como los datos para iniciar sesión en cualquier red social o incluso servicios en la nube, puedan estar disponibles para terceros. Es justo esto lo que va a robar el ransomware Pysa y, posteriormente, pedir un rescate a cambio para que no lo filtre.
Pero busca también palabras muy concretas como “delito”, “fraude”, “oficina”, “secreto”, “ilegal”, “oculto”… Básicamente se centra en información que pueda ser confidencial y que una empresa o usuario no querría bajo ningún concepto que se hiciera pública.
Al igual que podemos reconocer ataques DDoS y cualquier otra amenaza, es esencial estar protegidos frente al ransomware y no cometer errores. Cualquier fallo puede exponer nuestros datos personales y servir como puerta de entrada a los ciberdelincuentes. Además, un ataque ransomware puede ser muy rápido.
En definitiva, el ransomware Pysa a través de un script muestra cuáles son los archivos en los que está interesado para poder robarlos y, posteriormente, solicitar un rescate a cambio. Es esencial que evitemos este tipo de amenazas de seguridad cuando navegamos por Internet.