Группировка Mespinoza/PYSA, которая, по мнению экспертов, происходит из
Франции, почти два года атаковала организации в США и других странах. В марте 2021
г. к ней проявило интерес ФБР. С апреля на сайте утечек Mespinoza
перестали появляться новые данные.
Почти незаметный шифровальщик
Эксперты группы Unit 42 Palo Alto Network опубликовали исследование, посвященное
малоизвестной до последнего времени группировке шифровальщиков-вымогателей под
названием Mespinoza. На фоне более знаменитых групп, таких как RagnarLocker или канувших в неизвестность REvil и DarkSide, Mespinoza оставалась относительно непримечательной
сущностью. Хотя со своих жертв эта группировка требовала довольно большие
деньги за возвращение доступа к данным.
Группировка Mespinoza, также известная
как PYSA,
атаковала организации в таких отраслях как образование, производство, ритейл,
медицина, хай-тек, транспорт и логистика, инженерные разработки и соцслужбы.
Доставалось и государственным агентствам.
Еще в марте 2021 г. ФБР
опубликовало предупреждение об активности PYSA, отметив, что масштаб и охват деятельности этой
группировки растет. С тех пор злоумышленники действительно развернулись на
широкую ногу. Жертвами Mespinoza/PYSA стали организации в 20 странах, в том числе в
Канаде, Великобритании, Италии, Испании, Франции, Германии, Южной Африке,
Бразилии и Австралии. Больше половины жертв, впрочем, располагаются на
территории США.
Злоумышленники требовали
от своих жертв до $1,6 млн. Впрочем, максимальная известная выплата составила $470
тыс. Если выкуп не выплачивался, группировка выкладывала данные жертв на своем
сайте утечек.
Как отмечается в
исследовании Unit 42, группировку Mespinoza отличает весьма высокая организационная
дисциплина. Это вполне может указывать на то, что мотивы ее участников не
ограничиваются заработком денег.
Modus Operandi
После первичного
проникновения в сеть потенциальной жертвы, злоумышленники сперва пытаются
выяснить, есть ли в атакованной инфраструктуре особо важные данные, за которые
жертва готова будет раскошелиться. Исследователи отметили, что члены Mespinoza осуществляют поиск
по ключевым словам, таким как clandestine («скрытый»), fraud («мошенничество» или «мошеннический»), SSN (номер полиса социального
страхования, основной идентификатор граждан США), driver’slicense («водительские права») и I-9 (это форма подтверждения права на
трудоустройство в США).
В ходе одной из
расследованных Unit 42 атак, операторы Mespinoza, получив доступ к компьютерной системе внутри
целевой инфраструктуры через RDP, и запустили серию batch-скриптов, использующих утилиту командной строки PsExec, с помощью которых по
множеству других компьютерных систем был распространен исполняемый файл
шифровальщика.
…в посудной лавке
По данным Cynet, Mespinoza связана с некоей французской APT-группировкой, которая
начала активное использование шифровальщика где-то в октябре 2019 г. Таким
образом, злоумышленники оставались «ниже радара» на протяжении почти двух лет.
Любопытно, что последняя
публикация утечки PYSA датирована концом апреля 2021 г. С тех пор атак либо не было, либо,
наоборот, они заканчивались полной выплатой требуемой суммы.
В любом случае, за
последние месяцы свернули деятельность (самостоятельно или вынужденно) сразу
несколько шифровальных группировок, в том числе, REvil, Avaddon и DarkSide; некоторые другие не проявляли активности уже на
протяжении нескольких месяцев. Впрочем, остаются группировки вроде Conti, которые продолжают
вести активную вредоносную деятельность и по сей день.
«Довольно странно, что
активную шифровальную группировку игнорировали до недавнего времени. Это
шпионские APT-группы могут долго оставаться незамеченными, а
шифровальщики-вымогатели проявляются сразу же и весьма явственно, — говорит Михаил Зайцев, эксперт по
информационной безопасности компании SEC Consult Services. — Возможно, их
жертвы до определенного момента предпочитали “решать вопрос по-тихому” с
минимальным опубличиванием инцидента. Но потом кто-то из пострадавших
сообщил-таки в ФБР».
