Ator de ameaça de resgate estranho busca vítimas incomuns

A gangue de ransomware Mespinoza, também conhecida como PYSA, ganhou destaque por sua abordagem incomum de suas operações.

O grupo se infiltra nas redes da mesma forma que a maioria das outras empresas de ransomware, mas uma vez lá dentro, os hackers do Mespinoza procuram por documentação, arquivos ou outras evidências que possam indicar que a vítima do hack está de alguma forma ciente de atividades ilegais. O grupo então usa essas informações como uma forma de extorquir quantias exorbitantes em dinheiro de resgate de suas vítimas.

Mespinoza foi chamada de gangue de ransomware "extremamente disciplinada" por pesquisadores que trabalham com a Palo Alto Networks. O relatório da Unit42 de Palo Alto enfoca as táticas em constante mudança que os atores da ameaça de ransomware empregam em sua busca contínua por lucro ilegal.

A Mespinoza está no radar da comunidade infosec há algum tempo. O grupo cresceu o suficiente para que o FBI publicasse um alerta específico sobre eles em março de 2021. O relatório surgiu na sequência de ataques a instituições educacionais dos EUA, incluindo seminários religiosos, bem como ataques semelhantes contra instituições do Reino Unido.

Uma vez que o Mespinoza viola uma rede, eles começam a procurar termos e palavras-chave muito específicos e, se forem encontrados, os hackers lançam um ataque de ransomware completo, criptografando a rede e pedindo resgates enormes, muitas vezes na casa dos milhões. Mespinoza procuraria palavras como "fraude" ou "carteira de motorista" - apenas dois exemplos publicados por Palo Alto.

O grupo também gosta de se referir às vítimas de ransomware como seus "parceiros". Não está muito claro se isso é apenas para exibição ou se Mespinoza acredita que é algum tipo de truque de engenharia social para fazer as vítimas cooperarem.

As entidades visadas pelos hackers Mespinoza estão localizadas em todo o mundo. O grupo atingiu vítimas na Europa continental, Brasil, África do Sul e Austrália. A lista completa, de acordo com o relatório de Palo Alto, inclui um total de 20 países. A grande maioria das vítimas está localizada nos Estados Unidos.

Embora Mespinoza não seja um grupo DarkSide ou gangue REvil, o fato de que eles marcaram tantos ataques e foram especificamente focados em um relatório do FBI mostra que o grupo é bem-sucedido. Também não há informações concretas sobre a localização de Mespinoza.