Unit 42 onderzoek naar ransomware-groep Mespinoza: Ook Nederlandse bedrijven doelwit
Unit 42, het threat intelligence team van Palo Alto Networks, heeft nieuw onderzoek gepubliceerd over ransomware-groep Mespinoza (ook bekend als Pysa). Mespinoza heeft organisaties wereldwijd slachtoffer gemaakt in verschillende sectoren. Ook een aantal Nederlandse bedrijven zijn getroffen door de groep. Hieronder de belangrijkste bevindingen uit het onderzoek van Unit 42:
- Mespinoza is extreem gedisciplineerd. Na het binnendringen van een nieuw netwerk bestudeerd de groep of er genoeg waardevolle data beschikbaar is om een grootschalige aanval te lanceren. Ze zoeken daarbij naar sleutelwoorden als ‘clandestine’, ‘fraud’, ‘driver license’ en ‘passport’. Dit suggereert dat de groep zoekt naar bestanden die de meeste impact zouden hebben wanneer ze uitlekken.
- Mespinoza maakt wereldwijd slachtoffers in verschillende sectoren. De groep claimt op hun ‘leksite’ gevoelige informatie openbaar te hebben gemaakt van meer dan 187 verschillende organisaties in onder andere sectoren als onderwijs, de maakindustrie, retail, zorg, overheid, tech, transport, techniek en sociale diensten. Ook Nederlandse organisaties werden dus getroffen door de groep.
- Mespinoza is arrogant in het benaderen van slachtoffers en noemt ze ‘partners’ die bijdragen aan hun inkomsten. Daarnaast sturen ze bij het binnendringen van organisaties kleinerende berichtjes als “Protect your system, Amigo,” of “What to tell my boss?”
- Ook Mespinoza dringt bij organisaties binnen via Remote Desktop Protocol (RDP). Recent onderzoek van Unit 42 naar de ransomware-groep REvil toonde aan dat ook zij gebruik maken van kwetsbaarheden in RDP om organisaties binnen te dringen. RDP blijkt een steeds vaker gebruikte ‘voordeur’ bij het toegang krijgen tot het beveiligde netwerk van een organisatie.
Het onderzoek naar Mespinoza bevestigt de professionalisering van cybercriminelen en laat zien hoe comfortabel ransomware-groepen zich voelen bij het afpersen van bedrijven. Nagenoeg elke organisatie is een potentieel slachtoffer, ook in Nederland. De verwachting dat dit soort aanvallen alleen maar meer zullen voorkomen, lijkt dan ook steeds waarschijnlijker het toekomstbeeld te worden.
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.