Actor de amenaza de rescate extraño busca víctimas inusuales

La banda de ransomware Mespinoza, también conocida con el alias de PYSA, se ha convertido en el centro de atención por su enfoque inusual de sus operaciones.

El grupo se infiltra en las redes de la forma en que lo hacen la mayoría de los equipos de ransomware, pero una vez dentro, los piratas informáticos de Mespinoza buscan documentación, archivos u otra evidencia que pueda implicar que la víctima del pirateo está al tanto de actividades ilegales. Luego, el grupo utiliza esta información como palanca para extorsionar cantidades exorbitantes de dinero de rescate de sus víctimas.

Los investigadores que trabajan con Palo Alto Networks han llamado a Mespinoza una banda de ransomware "extremadamente disciplinada". El informe de Unit42 de Palo Alto se centra en las tácticas en constante cambio que emplean los actores de amenazas de ransomware en su búsqueda continua de ganancias ilegales.

Mespinoza ha estado en el radar de la comunidad de seguridad desde hace algún tiempo. El grupo creció lo suficiente como para que el FBI publicara una alerta específicamente sobre ellos en marzo de 2021. El informe se produjo a raíz de los ataques a instituciones educativas estadounidenses, incluidos seminarios religiosos, así como ataques similares contra instituciones del Reino Unido.

Una vez que Mespinoza viola una red, comienzan a buscar términos y palabras clave muy específicos y, si los encuentran, los piratas informáticos lanzan el ataque de ransomware en toda regla, encriptando la red y pidiendo grandes rescates, a menudo de millones. Mespinoza buscaría palabras como "fraude" o "licencia de conducir", solo dos ejemplos publicados por Palo Alto.

Al grupo también le gusta referirse a sus víctimas de ransomware como sus "socios". No está muy claro si esto es solo para mostrar o si Mespinoza cree que se trata de una especie de truco de ingeniería social para hacer que las víctimas cooperen.

Las entidades objetivo de los piratas informáticos de Mespinoza se encuentran en todo el mundo. El grupo ha golpeado a víctimas en Europa continental, Brasil, Sudáfrica y Australia. La lista completa, según el informe de Palo Alto, incluye un total de 20 países. La inmensa mayoría de las víctimas se encuentran en Estados Unidos.

Si bien Mespinoza no es un grupo DarkSide o una pandilla REvil, el hecho de que hayan marcado tantos ataques y se hayan centrado específicamente en un informe del FBI muestra que el grupo tiene éxito. Tampoco hay información concreta sobre dónde se encuentra Mespinoza.