Strano attore di minacce di riscatto cerca vittime insolite

La banda del ransomware Mespinoza, anche sotto l'alias di PYSA, è arrivata sotto i riflettori per il suo approccio insolito alle sue operazioni.

Il gruppo si infiltra nelle reti come fa la maggior parte degli altri ransomware, ma una volta all'interno, gli hacker di Mespinoza cercano documentazione, file o altre prove che potrebbero implicare che la vittima dell'hack sia in qualche modo a conoscenza di attività illegali. Il gruppo utilizza quindi queste informazioni come leva per estorcere somme esorbitanti di riscatto alle sue vittime.

Mespinoza è stata definita una banda di ransomware "estremamente disciplinata" dai ricercatori che lavorano con Palo Alto Networks. Il rapporto di Unit42 di Palo Alto si concentra sulle tattiche in continua evoluzione che gli attori delle minacce ransomware impiegano nella loro continua ricerca di profitto illegale.

Mespinoza è da tempo nel radar della comunità infosec. Il gruppo è diventato abbastanza grande che l'FBI ha pubblicato un avviso specifico su di loro nel marzo 2021. Il rapporto è arrivato sulla scia degli attacchi alle istituzioni educative statunitensi, compresi i seminari religiosi, nonché di attacchi simili contro le istituzioni del Regno Unito.

Una volta che Mespinoza viola una rete, iniziano a cercare termini e parole chiave molto specifici e, se li trovano, gli hacker lanciano l'attacco ransomware in piena regola, crittografando la rete e chiedendo enormi riscatti, spesso dell'ordine di milioni. Mespinoza cercava parole come "frode" o "patente di guida" - solo due esempi pubblicati da Palo Alto.

Al gruppo piace anche fare riferimento alle sue vittime di ransomware come ai suoi "partner". Se questo è solo per spettacolo, o se Mespinoza crede che questo sia una sorta di trucco di ingegneria sociale per convincere le vittime a cooperare non è troppo chiaro.

Le entità prese di mira dagli hacker di Mespinoza si trovano in tutto il mondo. Il gruppo ha colpito vittime in Europa continentale, Brasile, Sud Africa e Australia. L'elenco completo, secondo il rapporto di Palo Alto, comprende un totale di 20 paesi. La stragrande maggioranza delle vittime si trova negli Stati Uniti.

Sebbene i Mespinoza non siano un gruppo DarkSide o una banda REvil, il fatto che abbiano segnato così tanti attacchi e siano stati specificamente focalizzati in un rapporto dell'FBI mostra che il gruppo ha successo. Non ci sono nemmeno informazioni concrete su dove si trova Mespinoza.