Aktor z groźbą dziwnego okupu poszukuje nietypowych ofiar
Gang Mespinoza ransomware, również występujący pod pseudonimem PYSA, znalazł się w centrum uwagi ze względu na swoje niecodzienne podejście do swoich operacji.
Grupa infiltruje sieci tak, jak robi to większość innych firm ransomware, ale po wejściu do niej hakerzy Mespinozy szukają dokumentacji, plików lub innych dowodów, które mogą sugerować, że ofiara włamania jest w jakiś sposób świadoma nielegalnych działań. Grupa następnie wykorzystuje te informacje jako dźwignię do wyłudzania wygórowanych kwot okupu od swoich ofiar.
Mespinoza została nazwana przez badaczy współpracujących z Palo Alto Networks „niezwykle zdyscyplinowanym” gangiem ransomware. Raport autorstwa Palo Alto's Unit42 skupia się na ciągle zmieniających się taktykach stosowanych przez cyberprzestępców w poszukiwaniu nielegalnych zysków.
Mespinoza od jakiegoś czasu jest na radarze społeczności infosec. Grupa rozrosła się na tyle, że FBI opublikowało specjalny alert na ich temat w marcu 2021 r. Raport pojawił się w następstwie ataków na amerykańskie instytucje edukacyjne, w tym seminaria religijne, a także podobnych ataków wymierzonych w instytucje brytyjskie.
Gdy Mespinoza włamie się do sieci, zaczynają szukać bardzo konkretnych terminów i słów kluczowych, a jeśli zostaną znalezione, hakerzy przeprowadzają pełny atak ransomware, szyfrując sieć i prosząc o ogromne okupy, często w milionach. Mespinoza szukał słów takich jak „oszustwo” lub „prawo jazdy” – to tylko dwa przykłady opublikowane przez Palo Alto.
Grupa lubi również określać swoje ofiary oprogramowania ransomware jako swoich „partnerów”. Nie jest jasne, czy to tylko na pokaz, czy też Mespinoza uważa, że jest to jakiś rodzaj socjotechnicznej sztuczki mającej na celu skłonienie ofiar do współpracy.
Podmioty atakowane przez hakerów Mespinozy znajdują się na całym świecie. Grupa uderzyła w ofiary w Europie kontynentalnej, Brazylii, Afryce Południowej i Australii. Pełna lista, według raportu Palo Alto, obejmuje łącznie 20 krajów. Przytłaczająca większość ofiar znajduje się w USA.
Chociaż Mespinoza nie jest grupą DarkSide ani gangiem REvil, fakt, że zaliczyli tak wiele ataków i zostali specjalnie skoncentrowani w raporcie FBI, pokazuje, że grupa odnosi sukcesy. Nie ma też twardych informacji o tym, gdzie znajduje się Mespinoza.
