Strange Ransom Threat Actor söker ovanliga offer

Mespinoza-ransomware-gänget, som också går av PYSA-alias, har kommit i rampljuset för sin ovanliga inställning till deras verksamhet.

Gruppen infiltrerar nätverk som de flesta andra ransomware-kläder gör, men en gång inuti söker Mespinoza-hackare efter dokumentation, filer eller andra bevis som kan innebära att offret för hacket är på något sätt medvetet om olagliga aktiviteter. Gruppen använder sedan denna information som hävstång för att utpressa orimliga mängder lösenpengar från sina offer.

Mespinoza har kallats ett "extremt disciplinerat" ransomware-gäng av forskare som arbetar med Palo Alto Networks. Rapporten från Palo Altos Unit42 fokuserar på den ständigt skiftande taktik som ransomware-hotaktörer använder i deras pågående sökande efter olaglig vinst.

Mespinoza har varit på radaren i infosec-samhället under en tid nu. Gruppen blev tillräckligt stor för att FBI publicerade en varning specifikt om dem i mars 2021. Rapporten kom i kölvattnet av attacker mot amerikanska utbildningsinstitutioner, inklusive religiösa seminarier, liksom liknande attacker riktade mot brittiska institutioner.

När Mespinoza bryter mot ett nätverk börjar de söka efter mycket specifika termer och nyckelord, och om de hittas startar hackarna den fullständiga ransomware-attacken, krypterar nätverket och ber om stora lösen, ofta i miljoner. Mespinoza sökte efter ord som "bedrägeri" eller "körkort" - bara två exempel publicerade av Palo Alto.

Gruppen gillar också att hänvisa till sina offer för ransomware som sina "partners". Huruvida detta bara är för att visa, eller om Mespinoza tror att det här är ett slags socialteknik för att få offren att samarbeta är inte alltför tydligt.

Enheter som riktas mot Mespinoza-hackarna finns över hela världen. Gruppen har drabbat offer i kontinentaleuropa, Brasilien, Sydafrika och Australien. Hela listan, enligt Palo Altos rapport, omfattar totalt 20 länder. Den överväldigande majoriteten av offren finns i USA.

Medan Mespinoza inte är någon DarkSide-grupp eller REvil-gäng, visar det faktum att de har gjort så många attacker och särskilt fokuserats i en FBI-rapport att gruppen är framgångsrik. Det finns ingen hård information om var Mespinoza ligger heller.