Unit 42 di Palo Alto Networks ha analizzato una nuova banda di cybercriminali chiamata Mespinoza, che ha già colpito aziende di diversi settori tra cui editoria, immobiliare, manifatturiero e istruzione, con richieste di riscatto fino a 1,6 milioni di dollari e pagamenti fino a 470.000 dollari.
Per scoprire dettagli su questo gruppo, Unit 42 ha monitorato la loro infrastruttura – compreso un server di comando e controllo (C2) utilizzato per gestire gli attacchi e un sito in cui pubblicano i dati delle vittime che si sono rifiutate di pagare il riscatto. Ecco alcuni dei risultati principali su Mespinoza:
- Estremamente disciplinati: Dopo l’accesso a una nuova rete, il gruppo cerca parole chiave tra cui clandestino, frode, ssn, patente, passaporto e I-9. Questo suggerisce che sono a caccia di file sensibili che avrebbero il massimo impatto se trapelassero.
- Contano diversi obiettivi: Le organizzazioni vittime sono indicate come “partner”. L’uso di questo termine suggerisce che cercano di gestire il gruppo come un’impresa professionale e vedono gli obiettivi come partner commerciali che finanziano i loro profitti. Il sito della banda ha esposto dati che sembrano appartenere a 187 organizzazioni in diversi settori tra cui istruzione, manifatturiero, retail, sanitario, governativo, tecnologico, trasporti, logistica, ingegneristico ed i servizi sociali.
- Hanno una portata globale: Il 55% delle vittime identificate sul sito sono situate negli Stati Uniti. L’Italia è al terzo subito dopo il Regno Unito.
- Sono molto arroganti: Nella richiesta di riscatto compare spesso questo messaggio: “Cosa dire al mio capo?” “Proteggi il tuo sistema, amigo”.
- Usano strumenti di attacco dai nomi creativi: Uno strumento che crea tunnel di rete per trafugare dati è chiamato “MagicSocks”, mentre un componente memorizzato sul loro server di staging, probabilmente utilizzato per concludere un attacco, si chiama “HappyEnd.bat”.
