Эксперты группы Unit 42 Palo Alto Network опубликовали исследование, посвященное малоизвестной, до последнего времени, группировке шифровальщиков-вымогателей под названием Mespinoza. Группировка Mespinoza, хотя и требовала довольно большие выкупы со своих жертв, но оставалась продолжительное время незамеченной на фоне более активных группировок, например, таких как RagnarLocker и REvil. По информации Cynet, Mespinoza связана с некоей французской APT-группировкой, которая начала активное использование вирусов-шифровальщиков осенью 2019 г.

Группировка Mespinoza, также известная как PYSA, в основном атаковала компании имеющие отношение к производству, ритейлу, медицине, транспорту, логистике и образованию. Еще в марте 2021 г. ФБР опубликовало предупреждение об активности PYSA, отметив, что масштаб и охват деятельности этой группировки растет. Жертвами Mespinoza стали организации в 20 странах, в том числе в Канаде, Великобритании, Италии, Испании, Франции, Германии, Южной Африке, Бразилии и Австралии. Впрочем, большая часть жертв территориально располагаются в США.

Злоумышленники требовали от своих жертв до $1.6 млн, хотя среди обнародованных сумм выкупа самая значительная составила $470 тыс. Если выкуп не выплачивался, группировка выкладывала данные жертв на своем сайте утечек.

Как отмечается в исследовании Unit 42, группировку Mespinoza отличает весьма высокая организационная дисциплина. Это вполне может указывать на то, что мотивы ее участников не ограничиваются заработком денег.

После первичного проникновения в сеть потенциальной жертвы, злоумышленники сперва пытаются выяснить, есть ли в атакованной инфраструктуре особо важные данные, за которые жертва реально будет готова заплатить выкуп.

В ходе расследования одной из атак, эксперты Unit 42 пришли к выводу, что операторы Mespinoza, получив доступ к компьютерной системе внутри целевой инфраструктуры через RDP, запустили серию скриптов, и с помощью утилиты PsExec распространили вредонос на другие компьютеры в пределах локальной сети организации.

Любопытно, что последняя публикация утечки PYSA датирована концом апреля 2021 г. С тех пор атак либо не было, либо, наоборот, они заканчивались полной выплатой требуемой суммы.

Для защиты информации ИБ-эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления операционной системы.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бэкапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от шифровальщиков.