Вымогатели из Mespinoza ищут доказательства преступлений своих жертв для шантажа

Операторы вымогательского ПО Mespinoza (также известного как PYSA) атакуют организации по всему миру и ищут на компьютерных системах конфиденциальную информацию и файлы, связанные с незаконными действиями жертв. Данную информацию злоумышленники используют в качестве дополнительного рычага давления при вымогательстве выкупа.

Преступники требуют миллионы долларов в обмен на ключ дешифрования и угрожают опубликовать конфиденциальную информацию, украденную из скомпрометированной сети, если жертвы не заплатят. Жертвами атак Mespinoza стали компании по всему миру, но больше всего пострадавших находится в США, включая производственные предприятия, компании в сфере розничной торговли, машиностроения, образовательные учреждения и правительственные организации.

По словам специалистов из компании Palo Alto Networks, Mespinoza представляет собой «чрезвычайно дисциплинированную» группировку, которая активно ищет доказательства незаконной деятельности, а также другую конфиденциальную информацию для шантажа жертв. Mespinoza проникает в системы жертвы путем взлома RDP-соединений. Неизвестно, используют ли злоумышленники брутфорс-атаки или фишинговые атаки для кражи учетных данных, но с помощью легитимных учетных данных они могут дольше оставаться незамеченными.

Группировка также устанавливает на системе жертвы бэкдор под названием Gasket. Бэкдор, свою очередь, обладает функцией MagicSocks, использующей инструменты с открытым исходным кодом для обеспечения постоянного удаленного доступа к сети. Таким образом преступники обеспечивают себе персистентность на системе.

Требование выкупа часто превышает $1,5 млн, но группировка готова вести переговоры с жертвами и получила много выплат в размере почти $500 тыс. в обмен на ключ дешифрования, а также для предотвращения публикации украденной информации.