Μια παραγωγική ransomware ομάδα που στοχεύει οργανισμούς σε όλο τον κόσμο αναζητά ευαίσθητες πληροφορίες και αρχεία που υποδηλώνουν ότι τα θύματά της γνωρίζουν τυχόν παράνομη δραστηριότητα, με σκοπό να το εκμεταλλευτεί αυτό για να κερδίσει χρήματα από πληρωμές λύτρων.
Πρόκειται για τη συμμορία του Mespinoza ransomware (γνωστό και ως Pysa), η οποία ζητά εκατομμύρια δολάρια ως αντάλλαγμα για ένα κλειδί αποκρυπτογράφησης και απειλεί να δημοσιεύσει προσωπικά δεδομένα που κλάπηκαν από το παραβιασμένο δίκτυο, εάν τα θύματα αρνηθούν να πληρώσουν.
Η συμμορία του Mespinoza απαριθμεί θύματα σε όλο τον κόσμο, ωστόσο, επικεντρώνεται κυρίως στις ΗΠΑ, όπου έχει στοχεύσει οργανισμούς στον τομέα της μεταποίησης, της λιανικής, της μηχανικής, της εκπαίδευσης και της κυβέρνησης. Η hacking ομάδα έχει γίνει τόσο παραγωγική, που το FBI εξέδωσε προειδοποίηση για τις επιθέσεις της.
Διαβάστε επίσης: REvil Ransomware: Εκτός λειτουργίας τα sites της συμμορίας
Η εταιρεία κυβερνοασφάλειας “Palo Alto Networks” ανέλυσε τις επιθέσεις της Mespinoza και περιέγραψε λεπτομερώς αυτό που χαρακτηρίζει ως «εξαιρετικά πειθαρχημένη» ransomware ομάδα, η οποία αναζητά ενεργά στοιχεία για παράνομη δραστηριότητα, καθώς και άλλες ευαίσθητες πληροφορίες, προκειμένου να τις χρησιμοποιήσει στα πλαίσια εκστρατειών διπλού εκβιασμού.
Όπως πολλές ransomware ομάδες, έτσι και αυτή του Mespinoza, κερδίζει πρώτα ένα βήμα σε δίκτυα παραβιάζοντας συστήματα απομακρυσμένης επιφάνειας εργασίας (RDP). Δεν είναι σαφές εάν οι επιτιθέμενοι χρησιμοποιούν brute-force ή phishing επιθέσεις για να κλέψουν credentials σύνδεσης, αλλά χρησιμοποιώντας νόμιμα usernames και passwords για πρόσβαση σε συστήματα, είναι πολύ πιο εύκολο για αυτούς να μη γίνουν αντιληπτοί όταν κινούνται στο δίκτυο και προσπαθούν να θέσουν τα θεμέλια για μια ransomware επίθεση.
Αλλά αυτός δεν είναι ο μόνος τρόπος με τον οποίο η ομάδα διασφαλίζει ότι θα έχει επίμονη πρόσβαση σε παραβιασμένα δίκτυα, καθώς εγκαθιστά επίσης backdoor, που – βάσει του κώδικα του malware – οι ερευνητές ονόμασαν “Gasket”. Αυτό με τη σειρά του αναφέρεται σε μια ικανότητα που ονομάζεται “MagicSocks”, η οποία χρησιμοποιεί εργαλεία ανοιχτού κώδικα για να παρέχει συνεχή απομακρυσμένη πρόσβαση στο δίκτυο.
Δείτε ακόμη: Interpol: Καλεί τις αστυνομικές δυνάμεις να ενωθούν ενάντια στην πιθανή «ransomware πανδημία»
Όλα αυτά επιτρέπουν στους επιτιθέμενους να διατηρήσουν την επιμονή τους καθώς παίρνουν τον χρόνο τους για να αξιολογήσουν το δίκτυο. Η συμμορία του Mespinoza ενδιαφέρεται ιδιαίτερα για ονόματα αρχείων και servers που σχετίζονται με ευαίσθητες και εμπιστευτικές πληροφορίες, οικονομικά δεδομένα, ακόμη και πληροφορίες που ενδέχεται να υποδηλώνουν παράνομη δραστηριότητα, από το θύμα, για να τα χρησιμοποιήσει ως «κίνητρο» όταν ζητά λύτρα.
Ο Alex Hinchliffe, αναλυτής threat intelligence στο Unit 42 της Palo Alto Networks, δήλωσε τα εξής: «Ψάχνουν χρησιμοποιώντας ευαίσθητους όρους όπως παράνομο, απάτη και εγκληματίας. Με άλλα λόγια, οι κακόβουλοι παράγοντες ενδιαφέρονται και για παράνομες δραστηριότητες που είναι γνωστές στον οργανισμό.»
Οι απαιτήσεις λύτρων ανέρχονται συχνά σε πάνω από 1,5 εκατομμύρια δολάρια, αλλά η ομάδα είναι πρόθυμη να διαπραγματευτεί με τα θύματα.
Πρόταση: Ransom tracker δείχνει τί ποσά σε Bitcoin έχουν λάβει ransomware ομάδες
Η ομάδα δραστηριοποιείται από τον Απρίλιο του 2020 – μια περίοδο που η παγκόσμια πανδημία του COVID-19 ανάγκασε πολλούς οργανισμούς να προσαρμοστούν ξαφνικά στην απομακρυσμένη εργασία, γεγονός που τους κατέστησε πολύ πιο ευάλωτους στις επιθέσεις RDP. Και ενώ η συμμορία του Mespinoza δεν είναι τόσο διαβόητη όσο άλλες ransomware ομάδες, το γεγονός ότι λειτουργεί για πάνω από ένα χρόνο δείχνει ότι είναι επιτυχής.
«Είναι σχετικά νέα ομάδα, αλλά οι επιθέσεις της έχουν μεγάλο αντίκτυπο, δεδομένου του αριθμού των θυμάτων που αναφέρονται στον ιστότοπο διαρροής της, και πιθανότατα να βγάλει πολλά χρήματα από τους εκβιασμούς της», επεσήμανε ο Hinchliffe.
Προς το παρόν, δεν είναι γνωστό από πού λειτουργεί η εν λόγω συμμορία, αλλά είναι πιθανό οι επιθέσεις της να συνεχιστούν όσο εξακολουθεί κερδίζει χρήματα από λύτρα – και οργανισμοί με μη ασφαλές RDP θα παραμείνουν πρωταρχικός στόχος για εκστρατείες αυτής της ομάδας αλλά και άλλων ransomware «επιχειρήσεων».
Οι οργανισμοί μπορούν να αποτρέψουν την παραβίαση των υπηρεσιών RDP τους, αποφεύγοντας τη χρήση προεπιλεγμένων κωδικών πρόσβασης και εφαρμόζοντας έλεγχο ταυτότητας πολλών παραγόντων (MFA) σε λογαριασμούς χρηστών.
Πηγή πληροφοριών: zdnet.com
