A furcsa váltságdíjas színész szokatlan áldozatokat keres
A Mespinoza ransomware banda, amely szintén a PYSA álneve alapján mozog, figyelem középpontjába került működésük szokatlan megközelítése miatt.
A csoport úgy hatol be a hálózatokba, ahogyan a legtöbb más ransomware-ruházat teszi, de miután bejutottak, a Mespinoza hackerek dokumentációkat, fájlokat vagy egyéb bizonyítékokat keresnek, amelyek arra utalhatnak, hogy a hack áldozata valahogy tisztában van az illegális tevékenységekkel. A csoport ezt az információt felhasználja tőkeáttételként, hogy túlzott mértékű váltságdíjat zsaroljon ki áldozataitól.
A Mespinozát "rendkívül fegyelmezett" ransomware bandának nevezték a Palo Alto Networks-szel dolgozó kutatók. Palo Alto egységének jelentése42 a folyamatosan változó taktikákra összpontosít, amelyeket a ransomware fenyegetés szereplői alkalmaznak az illegális profit keresése során.
Mespinoza egy ideje már az infosec közösség radarján van. A csoport elég nagy lett ahhoz, hogy az FBI 2021 márciusában kifejezetten róluk szóló figyelmeztetést tett közzé. A jelentés az amerikai oktatási intézmények, köztük vallási szemináriumok, és az Egyesült Királyság intézményeit célzó hasonló támadások nyomán jött létre.
Miután Mespinoza megsért egy hálózatot, elkezdenek keresni nagyon konkrét kifejezéseket és kulcsszavakat, és ha találnak ilyeneket, a hackerek teljes körű ransomware támadást indítanak, titkosítva a hálózatot, és óriási váltságdíjakat kérve, gyakran milliókban. Mespinoza olyan szavakra keresne, mint "csalás" vagy "vezetői engedély" - csak két példát tett közzé a Palo Alto.
A csoport emellett szívesen emlegeti ransomware áldozatait "partnereiként". Hogy ez csak bemutatásra szolgál, vagy Mespinoza úgy véli, hogy ez valamiféle társadalommérnöki trükk az áldozatok együttműködésének ösztönzésére, nem túl egyértelmű.
A mespinozai hackerek által megcélzott szervezetek a világ minden táján találhatók. A csoport kontinentális Európában, Brazíliában, Dél-Afrikában és Ausztráliában érte áldozatait. A teljes lista Palo Alto jelentése szerint összesen 20 országot tartalmaz. Az áldozatok túlnyomó többsége az Egyesült Államokban található.
Míg Mespinoza nem DarkSide csoport vagy REvil banda, az a tény, hogy ennyi támadást értek el, és kifejezetten az FBI jelentésében összpontosítottak, azt mutatja, hogy a csoport sikeres. Mespinoza helyéről sem áll rendelkezésre kemény információ.
