# Pysa > Tipo: **malware (ransomware)** - Big Game Hunting - S0583 - [MITRE ATT&CK](https://attack.mitre.org/software/S0583) > [!danger] "Protect Your System Amigo" - Educação como Alvo Principal > O Pysa tornou-se sinonimo de ataques a educação: o FBI emitiu alerta específico em marco de 2021 sobre o aumento de 400% de ataques do Pysa contra instituicoes educacionais nos EUA e UK. Universidades, distritos escolares e instituicoes de pesquisa foram os alvos mais frequentes - o grupo extraia propriedade intelectual, dados de pesquisa e registros de alunos para maximizar pressao de extorsao. O grupo tem declarada preferência por alvos que "Protect your system amigo" - sarcasmo que aparece nas notas de resgaté. ## Visão Geral [[s0583-pysa|Pysa]] (também conhecido como Mespinoza) e um ransomware escrito em Python ativo desde outubro de 2018, operado por um grupo que demonstrou sofisticacao operacional acima da media para um grupo de ransomware independente. O nome "Pysa" deriva de "Please You Save All" - mensagem ironica para vitimas. O grupo opera no modelo de dupla extorsao com site de vazamentos proprio onde públicava dados de vitimas que nao pagavam o resgaté. A caracteristica mais distintiva do Pysa e o toolset de pos-comprometimento: o grupo utiliza PowerShell Empire e Koadic (framework de C2 em JavaScript/JScript) para movimentação lateral - ferramentas tipicamente associadas a testes de penetracao, o que dificulta a distincao entre atividade de red team legitima e ataque real em ambientes corporativos. Para coleta de credenciais, usam Mimikatz contra o LSASS ([[t1003-001-lsass-memory|T1003.001]]) e pesquisam credenciais em arquivos locais ([[t1552-001-credentials-in-files|T1552.001]]) - abordagem dual que maximiza a chance de capturar senhas de servico e contas privilegiadas. Para exfiltração pre-cifragem, o Pysa utilizava WinSCP transferindo dados para o servico de armazenamento em nuvem MEGA.NZ - escolha interessante por ser um servico legitimo de sharing que passa despercebido por proxies corporativos que inspecionam trafego. O volume de dados exfiltrados antes de cada ataque era substancial - relatorios de IR documentam exfiltracoes de 10-100 GB em organizacoes educacionais. O grupo operou sob monitoramento ativo de autoridades francesas (ANSSI documentou ataques a coletividades locais francesas em 2020) e foi parcialmente desmantelado com prisao de suspeitos em 2021-2022. **Plataformas:** Windows ## Como Funciona O acesso inicial e obtido via brute force ou credential stuffing contra servicos de email, VPN e RDP expostos. O grupo demonstrou paciencia operacional - documentos de IR mostram períodos de reconhecimento de 2-4 semanas antes da cifragem. Durante esse período, o grupo mapeia completamente o ambiente antes de acionar o ransomware. **Toolset pos-comprometimento:** - **PowerShell Empire**: Framework de C2 baseado em PowerShell para movimentação lateral e persistência - **Koadic**: Framework C2 em JavaScript - executa via `mshta.exe` ou `regsvr32.exe` para evasão - **Mimikatz**: Dump de credenciais LSASS ([[t1003-001-lsass-memory|T1003.001]]) - **Advanced Port Scanner**: Mapeamento de rede interna - **WinSCP**: Exfiltração de dados para MEGA.NZ **Sequencia de execução:** 1. Acesso via RDP ou VPN comprometida 2. PowerShell Empire implantado para C2 persistente 3. Koadic para movimentação lateral via mshta/regsvr32 4. Mimikatz coleta credenciais - busca por contas de backup e servico 5. WinSCP exfiltra dados criticos para MEGA.NZ (exfiltração pre-cifragem) 6. PowerShell desativa ferramentas de segurança: Defender, EDR via registry/service stop 7. Pysa executa como servico Windows (`SC create`) com nome de servico legitimo 8. Criptografia RSA + AES de arquivos locais e compartilhamentos de rede 9. Delecao de arquivos de log e traces de acesso ([[t1070-004-file-deletion|T1070.004]]) 10. Nota de resgaté `Readme.README` em cada pasta **Criptografia:** RSA assimetrico para proteger chaves AES simetricas por arquivo. Arquivos cifrados recebem extensao `.pysa`. O grupo opera site de vazamentos proprio onde públicava nomes de vitimas e amostras de dados antes do pagamento - maximizando pressao de compliance (LGPD, GDPR, HIPAA). ## Attack Flow ```mermaid graph TB A["🔓 Brute Force RDP/VPN<br/>Credential stuffing em servicos expostos<br/>T1110 Brute Force"] --> B["🔗 PowerShell Empire + Koadic<br/>C2 via PS e JScript<br/>mshta.exe / regsvr32.exe"] B --> C["🔑 Mimikatz LSASS + Arquivos<br/>Credenciais de servico e backup<br/>T1003.001 + T1552.001"] C --> D["🔍 Reconhecimento Extenso<br/>Advanced Port Scanner<br/>T1016 Network Config Discovery"] D --> E["📤 Exfiltração WinSCP<br/>10-100GB para MEGA.NZ<br/>T1048.003 Exfiltration Unencrypted"] E --> F["🛡 Desativacao de Defesas<br/>Registro + Service Stop<br/>T1562.001 Disable Tools"] F --> G["🔑 Criptografia RSA+AES<br/>Extensao .pysa - Readme.README<br/>T1486 Data Encrypted for Impact"] classDef access fill:#c0392b,color:#fff classDef c2 fill:#e67e22,color:#fff classDef creds fill:#f39c12,color:#fff classDef recon fill:#8e44ad,color:#fff classDef exfil fill:#2980b9,color:#fff classDef disable fill:#1a5276,color:#fff classDef encrypt fill:#1e3a5f,color:#fff class A access class B c2 class C creds class D recon class E exfil class F disable class G encrypt ``` ## Timeline ```mermaid timeline title Pysa - Linha do Tempo 2018-10 : Mespinoza identificado - primeiras amostras 2019-12 : Rebatizado como Pysa - site de vazamentos criado 2020 : ANSSI alerta sobre ataques a coletividades locais francesas 2020 : Expansao para educacao e saude nos EUA e UK 2021-03 : FBI Flash Alert - 400% aumento ataques educacao 2021 : Prisao de suspeitos europeus - grupo parcialmente desmantelado 2022 : Atividade residual com variantes do mesmo toolset ``` ## Técnicas Utilizadas - [[t1110-brute-force|T1110 - Brute Force]] - credential stuffing contra RDP e VPN - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - acesso inicial e lateral - [[t1059-001-powershell|T1059.001 - PowerShell]] - PowerShell Empire para C2 - [[t1059-006-python|T1059.006 - Python]] - executavel Pysa escrito em Python - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - Mimikatz para credenciais - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - busca em arquivos de configuração - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - Advanced Port Scanner - [[t1569-002-service-execution|T1569.002 - Service Execution]] - Pysa instalado como servico Windows - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Name]] - nome de servico legitimo - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - Defender e EDR - [[t1112-modify-registry|T1112 - Modify Registry]] - persistência e desativacao de defesas - [[t1489-service-stop|T1489 - Service Stop]] - servicos de backup e segurança - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - shadow copies deletadas - [[t1048-003-exfiltration-over-unencrypted-protocol|T1048.003 - Exfiltration Unencrypted]] - WinSCP para MEGA.NZ - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - remoção de traces e logs - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - RSA + AES ## Detecção > [!warning] Exfiltração para MEGA.NZ - Indicador Critico Pre-Cifragem > O uso do WinSCP para transferencia de dados para MEGA.NZ e o indicador mais critico do Pysa. MEGA.NZ e um servico de armazenamento em nuvem que muitos proxies corporativos nao bloqueiam por ser servico comercial legitimo. Monitoramento de destinos de upload e volume de dados transferidos para servicos de nuvem nao aprovados e a detecção mais eficaz disponível. **Indicadores comportamentais:** - `mshta.exe` ou `regsvr32.exe` iniciando conexoes de rede para IPs externos - Koadic C2 - PowerShell fazendo download de módulos de frameworks C2 (Empire) de dominios externos - WinSCP executado em servidor - raramente legitimo em ambientes de producao - Uploads de alto volume (>1 GB) para dominios MEGA.NZ (`*.mega.nz`, `*.mega.co.nz`) - Novo servico Windows criado com nome que imita servicos legitimos do sistema - Criação de arquivos `Readme.README` em múltiplos diretorios simultaneamente - `lsass.exe` sendo acessado por processos que nao sao ferramentas de segurança conhecidas **Sigma recomendado:** - `proc_creation_win_mshta_susp_execution.yml` - `net_connection_win_winscp_upload.yml` - `proc_creation_win_susp_service_creation.yml` - `proc_creation_win_lsass_dump_generic.yml` ## Relevância LATAM/Brasil O [[s0583-pysa|Pysa]] e seus TTPs impactaram diretamente o Brasil através de dois vetores: primeiro, ataques diretos a instituicoes educacionais brasileiras durante o período de ensino remoto (2020-2021), quando universidades e institutos federais expandiram rapidamente acesso VPN e RDP sem madurez de segurança correspondente. Segundo, o modelo de exfiltração para servicos de nuvem legitimos (MEGA.NZ) foi adotado por grupos regionais atacando organizacoes brasileiras - o CERT.br documentou varios incidentes com esse padrao. O FBI Flash Alert de 2021 sobre educação teve efeito direto no contexto brasileiro: instituicoes federais de ensino tecnico (IFETs) e universidades estaduais com baixo orcamento de segurança sao perfis ideais para o modelo Pysa. A dupla extorsao com dados de alunos (CPF, historico academico, dados financeiros de bolsas) tem valor específico no contexto de compliance LGPD - aumentando a pressao para pagamento. ## Referências - [MITRE ATT&CK - S0583](https://attack.mitre.org/software/S0583) - [FBI Flash Alert - PYSA/Mespinoza March 2021](https://www.ic3.gov/Media/News/2021/210316.pdf) - [ANSSI - Pysa Threat Report France](https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-008/) - [NCC Group - Mespinoza/Pysa Deep Dive](https://research.nccgroup.com/2020/12/23/ta505-dancing-with-the-ransomware-scene/) - [Picus Security - Pysa/Mespinoza Techniques](https://www.picussecurity.com/resource/blog/pysa-mespinoza-ransomware-techniques)