Palo Alto revela como age a temida gangue Mespinoza

A Palo Alto Networks, provedora de soluções de segurança cibernética, apresentou um relatório em que revela o perfil da gangue de hackers Mespinoza. O material lança uma nova luz sobre como os operadores de ransomware estão profissionalizando cada vez mais suas operações. O relatório inclui novos dados e análises da Unit 42, unidade de consultoria de segurança cibernética da Palo Alto Networks.

As vítimas estão espalhadas por todo o mundo em mais de 20 países, desde Estados Unidos, Canadá e Brasil, até o Reino Unido, Itália, Espanha, França, Alemanha, África do Sul e Austrália. O país mais visado foram os Estados Unidos, de acordo com um site Mespinoza Leak, em que 55% das vítimas são organizações americanas.

Com a proliferação da extorsão cibernética, gangues de ransomware estão constantemente mudando modelos comerciais e táticas para aumentar as chances de que as vítimas paguem resgates cada vez maiores. À medida que tais organizações criminosas se tornam mais sofisticadas, elas assumem cada vez mais a aparência de empresas profissionais.

Um bom exemplo é o Mespinoza, um grupo prolífico com propensão para termos excêntricos na nomeação de suas ferramentas de hacking. Consultores de segurança cibernética da Unit 42 observaram a gangue que ataca organizações editoriais, imobiliárias, industriais e educacionais dos EUA com pedidos de resgate de até US$ 1,6 milhão e pagamentos de até US$ 470 mil. O FBI publicou recentemente um alerta sobre o grupo, também conhecido como PYSA, após uma onda de hacking em escolas, faculdades, universidades e até seminários nos Estados Unidos, bem como no Reino Unido.

A gangue é extremamente disciplinada. Após acessar uma nova rede, o grupo estuda sistemas comprometidos que acredita-se ser uma triagem para determinar se há dados valiosos suficientes para justificar o lançamento de um ataque em larga escala. Eles buscam palavras-chave como “clandestino”, “fraude”, “ssn”, “carteira de motorista*”, “passaporte” e “I-9”. Isso sugere que eles estão à caça de arquivos sensíveis que teriam grande impacto em caso de algum vazamento.

As organizações vítimas da gangue são referidas como “parceiros”. O uso desse termo sugere que elas tentam administrar o grupo como uma empresa profissional e veem as vítimas como parceiros comerciais que financiam seus lucros. O site de vazamento da gangue forneceu dados que ela alega pertencer a 187 organizações de vítimas em indústrias como educação, manufatura, varejo, medicina, governo, alta tecnologia, transporte e logística, engenharia e serviços sociais, entre outras.

Seu alcance é global, mas 55% das vítimas identificadas no site de vazamento estão nos Estados Unidos. O restante está espalhado pelo mundo em mais de 20 países, incluindo Canadá, Brasil, Reino Unido, Itália, Espanha, França, Alemanha, África do Sul e Austrália.

Eles usam ferramentas de ataque com nomes criativos, uma ferramenta que cria túneis de rede para extrair dados é chamada “MagicSocks” (“Meias Mágicas”, em português). Um componente armazenado no servidor de teste da gangue e provavelmente usado para encenar um ataque é denominado “HappyEnd.bat” (final feliz).

Serviço
www.paloaltonetworks.com