A Palo Alto Networks, provedora de soluções de segurança cibernética, apresentou um relatório em que revela o perfil da gangue de hackers Mespinoza. O material lança uma nova luz sobre como os operadores de ransomware estão profissionalizando cada vez mais suas operações. O relatório inclui novos dados e análises da Unit 42, unidade de consultoria de segurança cibernética da Palo Alto Networks.
As vítimas estão espalhadas por todo o mundo em mais de 20 países, desde Estados Unidos, Canadá e Brasil, até o Reino Unido, Itália, Espanha, França, Alemanha, África do Sul e Austrália. O país mais visado foram os Estados Unidos, de acordo com um site Mespinoza Leak, em que 55% das vítimas são organizações americanas.
Com a proliferação da extorsão cibernética, gangues de ransomware estão constantemente mudando modelos comerciais e táticas para aumentar as chances de que as vítimas paguem resgates cada vez maiores. À medida que tais organizações criminosas se tornam mais sofisticadas, elas assumem cada vez mais a aparência de empresas profissionais.
Um bom exemplo é o Mespinoza, um grupo prolífico com propensão para termos excêntricos na nomeação de suas ferramentas de hacking. Consultores de segurança cibernética da Unit 42 observaram a gangue que ataca organizações editoriais, imobiliárias, industriais e educacionais dos EUA com pedidos de resgate de até US$ 1,6 milhão e pagamentos de até US$ 470 mil. O FBI publicou recentemente um alerta sobre o grupo, também conhecido como PYSA, após uma onda de hacking em escolas, faculdades, universidades e até seminários nos Estados Unidos, bem como no Reino Unido.
A gangue é extremamente disciplinada. Após acessar uma nova rede, o grupo estuda sistemas comprometidos que acredita-se ser uma triagem para determinar se há dados valiosos suficientes para justificar o lançamento de um ataque em larga escala. Eles buscam palavras-chave como “clandestino”, “fraude”, “ssn”, “carteira de motorista*”, “passaporte” e “I-9”. Isso sugere que eles estão à caça de arquivos sensíveis que teriam grande impacto em caso de algum vazamento.
As organizações vítimas da gangue são referidas como “parceiros”. O uso desse termo sugere que elas tentam administrar o grupo como uma empresa profissional e veem as vítimas como parceiros comerciais que financiam seus lucros. O site de vazamento da gangue forneceu dados que ela alega pertencer a 187 organizações de vítimas em indústrias como educação, manufatura, varejo, medicina, governo, alta tecnologia, transporte e logística, engenharia e serviços sociais, entre outras.
Seu alcance é global, mas 55% das vítimas identificadas no site de vazamento estão nos Estados Unidos. O restante está espalhado pelo mundo em mais de 20 países, incluindo Canadá, Brasil, Reino Unido, Itália, Espanha, França, Alemanha, África do Sul e Austrália.
Eles usam ferramentas de ataque com nomes criativos, uma ferramenta que cria túneis de rede para extrair dados é chamada “MagicSocks” (“Meias Mágicas”, em português). Um componente armazenado no servidor de teste da gangue e provavelmente usado para encenar um ataque é denominado “HappyEnd.bat” (final feliz).
Serviço
www.paloaltonetworks.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo