Así opera el grupo de 'ransomware' Mespinoza
Con una disciplina extrema, el grupo ha atacado ya a organizaciones de más de 20 países, teniendo entre sus preferidas las estadounidenses.
El grupo de ransomware Mespinoza está atacando con cada vez más eficacia a organizaciones editoriales, inmobiliarias, plantas de fabricación industrial y centros educativos en Estados Unidos y Reino Unido. Y pide rescates de hasta 1,6 millones de dólares, según investigaciones de Unit 42 de Palo Alto Networks. Como curiosidad, esta banda de cibercrimen tiende a utilizar nombres extravagantes para sus herramientas.
La compañía ha monitorizado su infraestructura que utiliza para administrar ataques y una web de filtraciones donde publica datos de sus víctimas que se negaron a pagar grandes cantidades de rescates. En sus hallazgos ha encontrado que Mespinoza es un grupo extremadamente disciplinado: tras acceder a una nueva red, estudia los sistemas comprometidos para determinar si hay suficientes datos valiosos para justificar un ataque a gran escala. Buscan archivos confidenciales que tendrían el mayor impacto posible si se filtraran.
Asimismo, se dirige a muchas industrias, a las que denominan como “socios”. El uso de este término sugiere que intentan administrar el grupo como una empresa profesional y las víctimas son sus socios comerciales que financian sus ganancias. Además, tienen alcance global; el 55% de las víctimas identificadas se encuentra en Estados Unidos, pero el resto se encuentra disperso por todo el mundo en más de 20 países.
Por último, el grupo es engreído cuando se acerca a las organizaciones y utiliza herramientas con nombres creativos. Por ejemplo, una nota de rescate ofrece el siguiente consejo. “¿Qué decirle a mi jefe? Protege tu sistema, amigo”. Y, una herramienta que crea túneles de red para desviar datos se llama MagicSocks; y un componente almacenado en su servidor de ensayo y que probablemente se usa para finalizar un ataque se llama HappEnd.bat.
