Logiciel de rançon PYSA, une variante du rançongiciel Mespinoza, a été activement ciblant le secteur de l'éducation au cours des derniers mois. Selon le FBI, les rançongiciels, les logiciels malveillants et les attaques DDoS ont compromis un certain nombre de secteurs critiques, mais les établissements d'enseignement aux États-Unis et au Royaume-Uni semblent être la cible privilégiée pour l'instant.

A l'apprentissage en ligne a déclenché une augmentation des ransomwares attaques ? La pandémie de COVID-19, le travail à distance et implicitement l'apprentissage en ligne ont probablement contribué à élargir le paysage des menaces existantes. Alors que les ransomwares ont longtemps été un défi pour l'enseignement supérieur, le FBI avertit maintenant que le groupe des ransomwares est également aller après K-12 et séminaires.

Qu'il s'agisse d'étudiants essayant de se connecter en ligne pour participer à des cours et à des examens, ou de membres du milieu universitaire s'adaptant aux bureaux à domicile et aux appels Zoom, l'enseignement supérieur n'a peut-être pas été correctement préparé pour l'apprentissage à distance à temps plein.

Ces attaques ne sont pas aléatoires et n'ont pas démarré d'un coup ciblant le secteur de l'éducation. Certains ne s'en souviennent peut-être pas, mais l'année dernière, l'Université de l'Utah a fini par payer un demi-million de dollars en crypto-monnaie pour retrouver l'accès à ses données. Même si le FBI et les experts en sécurité déconseillent de payer la rançon, certaines victimes choisissent d'aller à l'encontre de cet avis, en espérant que personne ne le découvrira.

Maintenant le problème avec double extorsion, comme c'est le cas avec le gang de rançongiciels PYSA, ce n'est pas nécessairement qu'ils cryptent votre système et bloquent l'accès aux données, mais qu'ils publier l'information sur leur site de fuite pour la revendre. Certains croient à tort que s'ils paient pour une clé de déchiffrement, ils sont sauvés, mais rien ne garantit vraiment que le groupe s'abstiendra de vendre les informations. Non seulement le groupe se sentira-t-il convaincu que ses attaques peuvent générer des profits, mais il peut aussi utiliser l'argent pour financer d'autres activités illicites.

Abréviation de « Protect Your System Amigo », le ransomware PYSA est apparu en octobre 2019 et est souvent utilisé comme outil Ransomware-as-a-Service. Le ransomware-as-a-service est devenu un modèle commercial lucratif car il permet aux acteurs malveillants qui manquent de compétences techniques ou d'expertise de louer ou d'acheter différents kits de logiciels malveillants pour lancer des attaques.

Dans notre recherche, nous avons également identifié des groupes de rançongiciels de double extorsion qui fonctionnent comme des entreprises légitimes en incorporant divers forfaits tarifaires pour outils de ransomware en tant que service. Pour le cryptage, le rançongiciel PYSA utilise Advanced Encryption Standard (AES) avec des clés cryptées RSA.

Les sites de fuite de ransomware sont mis à jour avec des données volées presque quotidiennement. Si votre institution a été touchée par un rançongiciel, contactez immédiatement les forces de l'ordre. Même si vous avez une cyber-assurance ou envisagez de payer les criminels pour retrouver l'accès à vos données, vous devez toujours contacter les forces de l'ordre. Cependant, si vous choisissez de payer la rançon, sachez qu'il y a toujours une chance que vous ne puissiez pas retrouver l'accès car des acteurs malveillants pourraient ne pas tenir parole.

Les incidents de ransomware sont susceptible d'augmenter, il est donc bon d'être préparé. Pour éviter d'endommager votre réputation et identifier si des données critiques ont été publiées en ligne, passez du temps à surveiller votre empreinte numérique et investissez dans la sensibilisation et la formation de votre équipe.