Strange Ransom Threat Actor søger usædvanlige ofre

Mespinoza-ransomware-banden, der også går under aliaset PYSA, er kommet i rampelyset for deres usædvanlige tilgang til deres operationer.

Gruppen infiltrerer netværk som de fleste andre ransomware-udstyr gør, men når de er inde, søger Mespinoza-hackere efter dokumentation, filer eller andre beviser, der kan antyde, at offeret for hacket på en eller anden måde er opmærksom på ulovlige aktiviteter. Gruppen bruger derefter disse oplysninger som gearing til at afpresse ublu mængder løsepenge fra sine ofre.

Mespinoza er blevet kaldt en "ekstremt disciplineret" ransomware-bande af forskere, der arbejder med Palo Alto Networks. Rapporten fra Palo Altos Unit42 fokuserer på den stadigt skiftende taktik, som ransomware-trusselaktører anvender i deres løbende søgning efter ulovlig fortjeneste.

Mespinoza har været på radaren fra infosec-samfundet i nogen tid nu. Gruppen blev stor nok til, at FBI offentliggjorde en alarm specifikt om dem i marts 2021. Rapporten kom i kølvandet på angreb på amerikanske uddannelsesinstitutioner, herunder religiøse seminarier, samt lignende angreb rettet mod britiske institutioner.

Når Mespinoza bryder et netværk, begynder de at søge efter meget specifikke termer og nøgleord, og hvis de findes, lancerer hackerne det fuldstændige ransomware-angreb, krypterer netværket og beder om enorme løsesum, ofte i millioner. Mespinoza ville søge efter ord som "bedrageri" eller "kørekort" - kun to eksempler udgivet af Palo Alto.

Gruppen omtaler også sine ofre for ransomware som sine "partnere". Hvorvidt dette kun er til udstilling, eller Mespinoza mener, at dette er en slags social engineering-trick for at få ofrene til at samarbejde, er ikke alt for klart.

Enheder, der er målrettet mod Mespinoza-hackerne, er placeret over hele verden. Gruppen har ramt ofre i det kontinentale Europa, Brasilien, Sydafrika og Australien. Ifølge Palo Altos rapport inkluderer den samlede liste i alt 20 lande. Det overvældende flertal af ofre er placeret i USA.

Mens Mespinoza ikke er nogen DarkSide-gruppe eller REvil-bande, viser det faktum, at de har scoret så mange angreb og har været specifikt fokuseret i en FBI-rapport, at gruppen har succes. Der er heller ingen hårde oplysninger om, hvor Mespinoza ligger.