Ransomware επιθέσεις

Security

εκβιασμός

Ransomware ομάδα ψάχνει αποδείξεις κυβερνοεγκλήματος για να πιέσει θύματα να πληρώσουν λύτρα

On

Ιούλ 15, 2021

Μια

παραγωγική ransomware ομάδα

που στοχεύει οργανισμούς σε όλο τον κόσμο αναζητά

ευαίσθητες πληροφορίες και αρχεία

που υποδηλώνουν ότι τα θύματά της γνωρίζουν τυχόν

παράνομη δραστηριότητα

, με σκοπό να το εκμεταλλευτεί αυτό για να κερδίσει χρήματα από πληρωμές λύτρων.

Πρόκειται για τη συμμορία του

Mespinoza ransomware

(γνωστό και ως

Pysa

), η οποία

ζητά εκατομμύρια δολάρια

ως αντάλλαγμα για ένα κλειδί αποκρυπτογράφησης και απειλεί να δημοσιεύσει

προσωπικά

δεδομένα

που κλάπηκαν από το παραβιασμένο δίκτυο, εάν τα θύματα αρνηθούν να πληρώσουν.

Η συμμορία του Mespinoza

απαριθμεί θύματα σε όλο τον κόσμο

, ωστόσο,

επικεντρώνεται κυρίως στις ΗΠΑ

, όπου έχει στοχεύσει οργανισμούς στον τομέα της μεταποίησης, της λιανικής, της μηχανικής, της εκπαίδευσης και της κυβέρνησης.

Η

hacking ομάδα

έχει γίνει τόσο παραγωγική, που το FBI εξέδωσε

προειδοποίηση

για τις

επιθέσεις

της

.

Διαβάστε επίσης:

REvil Ransomware

: Εκτός λειτουργίας τα sites της συμμορίας

Pysa ransomware - Ransomware ομάδα ψάχνει αποδείξεις κυβερνοεγκλήματος για να πιέσει θύματα να πληρώσουν λύτρα — Pysa/Mespinoza Ransomware

Η

εταιρεία

κυβερνοασφάλειας

“Palo Alto Networks”

ανέλυσε τις

επιθέσεις

της Mespinoza και περιέγραψε λεπτομερώς αυτό που χαρακτηρίζει ως

«εξαιρετικά πειθαρχημένη» ransomware ομάδα

, η οποία

αναζητά ενεργά στοιχεία για

παράνομη δραστηριότητα

, καθώς και άλλες ευαίσθητες πληροφορίες, προκειμένου να τις χρησιμοποιήσει

στα πλαίσια εκστρατειών διπλού εκβιασμού

.

Όπως πολλές ransomware ομάδες, έτσι και αυτή του Mespinoza, κερδίζει πρώτα ένα βήμα σε δίκτυα παραβιάζοντας

συστήματα

απομακρυσμένης επιφάνειας εργασίας (RDP). Δεν είναι σαφές εάν οι επιτιθέμενοι χρησιμοποιούν brute-force ή

phishing

επιθέσεις

για να κλέψουν credentials σύνδεσης, αλλά χρησιμοποιώντας νόμιμα usernames και passwords για πρόσβαση σε

συστήματα

, είναι πολύ πιο εύκολο για αυτούς να μη γίνουν αντιληπτοί όταν κινούνται στο δίκτυο και προσπαθούν να θέσουν τα

θεμέλια για μια

ransomware

επίθεση

.

Αλλά αυτός

δεν είναι ο μόνος τρόπος

με τον οποίο η ομάδα διασφαλίζει ότι θα έχει επίμονη πρόσβαση σε παραβιασμένα δίκτυα, καθώς εγκαθιστά επίσης

backdoor

, που – βάσει του κώδικα του malware – οι ερευνητές ονόμασαν

“Gasket”

. Αυτό με τη σειρά του αναφέρεται σε μια ικανότητα που ονομάζεται

“MagicSocks”

, η οποία χρησιμοποιεί εργαλεία ανοιχτού κώδικα για να παρέχει συνεχή απομακρυσμένη πρόσβαση στο δίκτυο.

Δείτε ακόμη:

Interpol:

Καλεί τις αστυνομικές δυνάμεις να ενωθούν ενάντια στην πιθανή «ransomware

πανδημία

»

hacker 1 768x512 1 - Ransomware ομάδα ψάχνει αποδείξεις κυβερνοεγκλήματος για να πιέσει θύματα να πληρώσουν λύτρα — Χάκερ

Όλα αυτά επιτρέπουν στους επιτιθέμενους

να διατηρήσουν την επιμονή

τους καθώς παίρνουν τον χρόνο τους για να αξιολογήσουν το δίκτυο. Η συμμορία του Mespinoza ε

νδιαφέρεται ιδιαίτερα για ονόματα αρχείων και servers

που σχετίζονται με ευαίσθητες και εμπιστευτικές πληροφορίες, οικονομικά

δεδομένα

, ακόμη και πληροφορίες που ενδέχεται να υποδηλώνουν

παράνομη δραστηριότητα

, από το θύμα, για να τα χρησιμοποιήσει ως «κίνητρο» όταν ζητά λύτρα.

Ο Alex Hinchliffe, αναλυτής threat intelligence στο Unit 42 της Palo Alto Networks, δήλωσε τα εξής:

«Ψάχνουν χρησιμοποιώντας ευαίσθητους όρους όπως παράνομο, απάτη και εγκληματίας. Με άλλα λόγια, οι κακόβουλοι παράγοντες ενδιαφέρονται και για παράνομες δραστηριότητες που είναι γνωστές στον οργανισμό.»

Οι απαιτήσεις λύτρων ανέρχονται συχνά σε πάνω από 1,5 εκατομμύρια δολάρια, αλλά η ομάδα είναι πρόθυμη να διαπραγματευτεί με τα θύματα.

Πρόταση:

Ransom tracker δείχνει τί ποσά σε Bitcoin έχουν λάβει ransomware ομάδες

1626378247 334 ransomware - Ransomware ομάδα ψάχνει αποδείξεις κυβερνοεγκλήματος για να πιέσει θύματα να πληρώσουν λύτρα — Ransomware

Η ομάδα

δραστηριοποιείται από τον Απρίλιο του 2020

– μια περίοδο που η παγκόσμια

πανδημία

του COVID-19 ανάγκασε πολλούς οργανισμούς να προσαρμοστούν ξαφνικά στην

απομακρυσμένη

εργασία

, γεγονός που τους κατέστησε πολύ πιο ευάλωτους στις

επιθέσεις

RDP

. Και ενώ η συμμορία του Mespinoza

δεν είναι τόσο διαβόητη

όσο άλλες ransomware ομάδες, το γεγονός ότι λειτουργεί για πάνω από ένα χρόνο δείχνει ότι

είναι επιτυχής

.

«Είναι σχετικά νέα ομάδα, αλλά οι

επιθέσεις

της έχουν μεγάλο αντίκτυπο, δεδομένου του αριθμού των θυμάτων που αναφέρονται στον ιστότοπο διαρροής της, και πιθανότατα να βγάλει πολλά χρήματα από τους εκβιασμούς της»

, επεσήμανε ο Hinchliffe.

Προς το παρόν,

δεν είναι γνωστό από πού λειτουργεί

η εν λόγω συμμορία, αλλά είναι πιθανό οι

επιθέσεις

της να συνεχιστούν όσο εξακολουθεί κερδίζει χρήματα από λύτρα – και

οργανισμοί

με μη ασφαλές RDP θα παραμείνουν πρωταρχικός στόχος

για

εκστρατείες

αυτής της ομάδας αλλά και άλλων ransomware «επιχειρήσεων».

Οι

οργανισμοί

μπορούν να αποτρέψουν την

παραβίαση

των υπηρεσιών RDP τους,

αποφεύγοντας

τη χρήση προεπιλεγμένων κωδικών πρόσβασης και εφαρμόζοντας

έλεγχο ταυτότητας πολλών παραγόντων

(MFA) σε

λογαριασμούς

χρηστών.