Veja como atua o grupo Mespinoza, conhecido por ciberataques com nomes criativos

Por Felipe Gugelmin | Editado por Claudio Yuge | 15 de Julho de 2021 às 19h20
WCCF Tech

Cada vez mais parecidos com empresas, grupos que atuam com ciberataques de ransomware têm sido rápidas em aprimorar suas atuações e definir modelos comerciais próprios. Entre os nomes que se destacam está o Mespinoza, gangue que já fez vítimas em mais de 20 países e teve suas atividades registradas pela firma de segurança estadunidense Palo Alto Networks.

Segundo a empresa de segurança, os cibercriminosos concentram 55% de suas atividades em organizações dos Estados Unidos, mas também já afetaram empresas no Canadá, Brasil, Reino Unido, Itália, Espanha, França, Alemanha, África do Sul e Austrália. Também conhecido como PYSA, o grupo já pediu US$ 1,6 milhão em resgate (R$ 8,21 bilhões na cotação atual) e recebeu pagamentos de até US$ 470 mil (R$ 2,4 milhões), despertando alertas do FBI após uma onda de ataques contra escolas, universidades e seminários.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Uma das mensagens de resgate divulgadas pelo grupo
Uma das mensagens de resgate divulgadas pelo grupo (Imagem: Divulgação/Palo Alto Networks)

Entre os elementos que destacam os cibercriminosos está o uso de nomes criativos em seus ataques, que incluem ferramentas como o “MagicSocks” (Meias Mágicas) e o “HappyEnd.bat” (Final Feliz). Confira mais detalhes sobre o perfil montado pela Palo Alto Networks:

  • Disciplina extrema: após invadir um sistema, os criminosos estudam com cuidado todos os dados para descobrir elementos considerados valiosos. Usando palavras-chave como “clandestino”, “fraude” e “passaporte”, eles procuram por documentos sensíveis e comprometedores que podem ser usados como ferramentas de chantagem;
  • Diversidade dos alvos: o Mespinoza não é especializado em somente um setor, já tendo realizado ataques contra alvos das áreas de educação, manufatura, varejo, medicina, governo, transporte, logística, alta tecnologia, engenharia e serviços sociais, entre outras.
  • Estrutura de empresa: o grupo sempre se refere às suas vítimas como “parceiros” que estariam financiando seus lucros;
  • Arrogância: os membros do grupo sempre tratam os alvos de forma arrogante e condescendente. Em uma nota de resgate, eles ofereceram o seguinte conselho: “O que dizer ao meu chefe? Projeta seu sistema, amigo”.

Para estudar o comportamento do Mespinoza, a Palo Alto Networks realizou o monitoramento de sua estrutura, que inclui um servidor de comando e controle usado para gerenciar ataques e um site em que são publicados dados de vítimas que não pagam resgates. A adoção de um modelo empresarial não é exclusiva ao grupo, e tem sido adotada por várias organizações que operam com ataques de ransomware.

Segundo um estudo realizado pela KELA, cibercriminosos cada vez mais adotam estruturadas especializadas, em que ataques são divididos em fases e contam com pessoas especializadas em cada uma delas. Enquanto muitos ainda mantêm uma estrutura central coesa, não é incomum que certas funções sejam terceirizadas, incluindo a negociação com as empresas e instituições afetadas.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.