Mespinoza: el grupo de ransomware utiliza herramientas de piratería con nombres extraños como MagicSocks y HappyEnd

Palo Alto Networks publica el perfil del grupo ciberdelincuente Mespinoza, que también es muy llamativo en Alemania

[datensicherheit.de, 15.07.2021] El grupo de analistas de ciberseguridad “Unidad 42” de Palo Alto Networks publicó un archivo sobre el extenso círculo de ransomware “Mespinoza” el 15 de julio de 2021, según su propia información. Esto ataca a empresas de publicaciones, bienes raíces, manufactura y educación. Exigencias de rescate de hasta $ 1.6 millones Y pagos hasta $ 470,000 USD.

Foto: Paloalto NETWORKS, UNIDAD 42

Resumen del país: Víctima del sitio de fuga del Grupo Mespinoza

Mespinoza: un grupo prolífico con una inclinación por los nombres extraños de sus herramientas de piratería

Con el aumento de la extorsión cibernética, las bandas de ransomware han cambiado constantemente sus tácticas y modelos comerciales. “Para aumentar las posibilidades de que las víctimas paguen un rescate cada vez más alto”. A medida que estas organizaciones criminales se vuelven más sofisticadas, según Palo Alto Networks, tomarán Cada vez más la aparición de empresas profesionales una.
Un buen ejemplo de esto es “Mespinoza”, un grupo muy productivo con tendencia a utilizar términos extravagantes para nombrar sus herramientas de piratería. Y consultores de ciberseguridad de la “Unidad 42” indicaron que la pandilla atacó a empresas estadounidenses en los campos editorial, inmobiliario, manufactura industrial y educación, exigiendo rescates de hasta 1,6 millones de dólares y efectuando pagos de hasta 470 mil dólares. El FBI recientemente consiguió uno Mensaje de advertencia sobre este grupo Se publicó, que también se conoce como “PYSA”, después de un ataque de piratería a escuelas, colegios, universidades e incluso seminarios en Estados Unidos y Reino Unido.
Para obtener más información sobre este grupo, la “Unidad 42” fue la suya. infraestructura de monitoreoIncluyendo el servidor de Comando y Control (C2), que utiliza para administrar los ataques y la ubicación de la fuga, “que publica datos sobre las víctimas que se negaron a pagar un gran rescate”.

Hallazgos importantes sobre la pandilla Mespinoza (extractos):

disciplina extrema
Después de acceder a una nueva red, el grupo investiga los sistemas comprometidos en una especie de “tipo” para identificarlos. “Si hay suficientes datos valiosos para justificar un ataque total”. Está buscando palabras clave como “secreto”, “fraude”, “ssn”, “permiso de conducir *”, “pasaporte” e “I-9”. Esto indica que estaban buscando archivos confidenciales, que tendrían el mayor impacto en caso de una fuga.

READ  Gran Bretaña abandona el programa de intercambio Erasmus

Muchas industrias como objetivo
serán las víctimas سيكون “pareja” especificado. El uso de este término indica que el grupo está tratando de “Gestionar el negocio como una empresa profesional y ver a las víctimas como socios comerciales que financian sus ganancias”. El sitio de filtración de la pandilla contenía datos que supuestamente pertenecían a 187 objetivos, incluidos educación, manufactura, comercio minorista, médico, gobierno, alta tecnología, transporte, logística, ingeniería y servicios sociales.

alcance global
El 55 por ciento de las víctimas identificadas en el sitio de la fuga se encuentran en Estados Unidos. El resto se encuentra disperso por todo el mundo en más de 20 países, incluidos Canadá, Brasil, Gran Bretaña, Italia, España, Francia, Alemania, Sudáfrica y Australia.

Abundancia en contacto con víctimas
La nota de rescate ofrece este consejo: “¿Qué le digo a mi jefe?” – “Protege tu sistema, Amigo”.

Utilice herramientas de ataque con nombres creativos
La herramienta de túnel de red para extraer datos se llama MagicSocks. El componente que está almacenado en el servidor de ‘preparación’ del clúster que potencialmente se ejecutaría para completar un ataque se llama ‘HappyEnd.bat’.

Mespinoza muestra muchas tendencias actuales

En un incidente reciente, los actores de amenazas utilizaron ransomware para obtener acceso a un sistema desde un escritorio remoto y ejecutar una serie de scripts empaquetados. “Quién usó la herramienta ‘PsExec’ para copiar el ransomware a otros sistemas en la red y ejecutarlo”. Antes de difundir este ransomware a otros sistemas, el actor ejecuta scripts de PowerShell en otros sistemas de la red para extraer los archivos de interés y Maximizar el impacto del ransomware.
Los ataques de “Mespinoza”, como se documenta en el informe de la “Unidad 42”, destacaron varias tendencias que se observan actualmente entre los diversos actores que amenazan el ransomware y las familias. Al igual que con otros ataques de ransomware, el archivo. Entrando por la proverbial puerta de entrada – A través de servidores RDP (Protocolo de escritorio remoto) conectados a Internet.
Esto elimina la necesidad de crear correos electrónicos de phishing, realizar ingeniería social, explotar vulnerabilidades de software y más. Se reducen las actividades costosas y que consumen mucho tiempo. Se ahorrarán más costos mediante el uso de muchas herramientas de código abierto, disponibles en línea de forma gratuita, o mediante el uso de herramientas integradas listas para usar, todo lo cual afecta los costos y, por lo tanto, las ganancias.

READ  América bebe y se duerme en Lambertheim

Más información sobre el tema:

FBI
Número de alerta CP-000142-MW / Aumento en la institución educativa dirigida al ransomware PYSA

Paloalto. redes, UNIDAD 42, Robert Falcone & Alex Hinchliffe & Quinn Cooke, 15 de julio de 2021
La pandilla de ransomware Mespinoza llama a las víctimas ‘socios’, ataques con junta, herramientas ‘MagicSocks’

Rodrigo Linan

"Aficionado a la música. Amante total de las redes sociales. Especialista en viajes. Apasionado gurú de la televisión".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *