Кибергруппировка Mespinoza расширяет географию атак и отраслевую специализацию

Во вчерашнем отчете подразделения Unit 42 фирмы Palo Alto Networks, подробно описывается банда кибервымогателей, которая, несмотря на растущую активность остаётся по большей части незамеченной в тени более известных групп, таких как REvil, DarkSide и Ragnar Locker.

По сведениям Cynet, эта преступная группировка, называемая Mespinoza, связана с неизвестной группой продвинутых постоянных угроз (APT), базирующейся во Франции.

ФБР в марте опубликовало предупреждение о том, что данная группа, также известная как PYSA, атаковала учебные заведения в 12 штатах США и в Великобритании, но с тех круг её жертв (которые сама Mespinoza предпочитает называть «партнёрами») значительно расширился.

Помимо образования, хакеры нацелены на производство, розничную торговлю, медицину, правительство, высокие технологии, транспорт и логистику, инженерные и социальные услуги. Требования выкупа составили 1,6 млн долл., а выплаты достигли 470 тыс. долл.

На своём сайте утечек банда выложила данные, украденные ею в 187 организациях, среди которых примерно 55% из США, а остальные из 20 стран, включая Канаду, Бразилию, Великобританию, Италию, Испанию, Францию, Германию, Южную Африку и Австралию.

Группу Mespinoza отличает избирательный подход к выбору «партнёров». Получив доступ к новой сети, группа изучает её, пытаясь определить, достаточно ли в ней ценных данных, чтобы оправдать запуск полномасштабной атаки. При этом хакеры ведут поиск по таким ключевым словам как подполье, афёра, SSN (номер социального страхования), водительские права, паспорт и I-9 (анкета проверки права на работу в США).

«Атаки Mespinoza, подобные тем, которые задокументированы в этом отчёте, демонстрируют множественные тенденции, наблюдаемые в настоящее время среди отдельных злоумышленников и банд кибервымогателей», — заключают эксперты Unit 42.