pysa
Perfil del Actor
pysa es un actor de amenaza asociado a la ciberseguridad, identificado como parte del grupo threat-actor. Este nombre se deriva de una extensión de archivo utilizada por el ransomware Mespinosa, que cifra datos con encriptación asimétrica y agrega el sufijo ".pysa" a los archivos afectados. La extensión "pysa" podría estar relacionada con el nombre de una moneda ficticia llamada "Zanzibari Coin", según informaciones disponibles.
Origen y Motivación
El origen de pysa no está completamente clarificado, pero se sugiere que su actividad está vinculada a la ciberdelincuencia organizada. La motivación principal parece ser el robo de datos o el secuestro digital para exigir pagos en criptomonedas. La extensión ".pysa" podría servir como un sello distintivo para identificar ataques relacionados con este actor.
Técnicas y Tacticas (TTPs)
pysa utiliza técnicas de ciberataque basadas en la inyección de código malicioso y la propagação de ransomware. Algunos métodos incluyen: - Infectar sistemas mediante correos electrónicos o archivos adjuntos maliciosos. - Encriptación asimétrica: Para asegurar el cifrado de datos, se emplea un algoritmo que requiere una clave pública y una privada. - Extensión específica: Los archivos encriptados reciben la extensión ".pysa", lo que ayuda a los atacantes a identificarlos fácilmente.
Campanas Conocidas
Hasta ahora, se han reportado 311 victimas afectadas por las actividades de pysa. Aunque no se han detallado nombres específicos de organizaciones o países, los ataques parecen tener un alcance geográfico amplio, con presencia en múltiples regiones.
Objetivos y Victimas
El objetivo principal de pysa es obtener ransomware (dinero) mediante el secuestro digital. Las víctimas incluyen empresas, usuarios individuales y sectores críticos. La extensión ".pysa" actúa como un sello para identificar ataques atribuidos a este actor.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Dominio C2 | dls.pysa2bitc5ldeyfak4seeruqymqs4sj5wt5qkcq7aoyg4h2acqieywad.onion |
Ataques activos en 2026-05-25 |
Detección y Defensa
Para mitigar el riesgo de ataque por pysa, se recomienda: - Monitorear archivos con extensión ".pysa" para detectar cifrado. - Actualizar sistemas y software antivirus para identificar amenazas asimétricas. - Realizar backups regularmente para minimizar pérdida de datos.