16/11/21
Кибервымогательская группировка Pysa (другое название Mespinoza) одновременно выложила на своем сайте утечек десятки жертв, сразу после того, как правительство США объявило о принятии ряда мер против кибервымогательских группировок.
В настоящее время на сайте утечек Pysa представлено 50 компаний, университетов и организаций. Однако у многих специалистов истинное время осуществления атак вызывает вопросы, поскольку Pysa обычно добавляет жертв на свой сайт через некоторое время после атаки.
Как сообщил изданию ZDNet эксперт в области вымогательского ПО ИБ-компании Recorded Future Аллан Лиска (Allan Liska), скорее всего, не все опубликованные на сайте жертвы являются новыми.
"Они (участники Pysa - ред.) публикуют данные жертв через шесть, а то и больше месяцев после первоначальной атаки. Это могут быть все жертвы, у которых они похитили и опубликовали данные, но их однозначно больше, чем мы наблюдали в другие периоды нынешнего года. Множество разных организаций по всему миру, без какой-либо темы", - сообщил Лиска.
Мнение коллеги поддерживает аналитик ИБ-компании Emsisoft Бретт Кэллоу (Brett Callow). По его словам, Pysa раскрывает имена своих жертв через несколько недель или даже месяцев после атаки, что отличает ее от других кибервымогательских группировок.
Почему вымогатели ждали так долго, прежде чем опубликовать данные своих жертв, непонятно. Также неясно, почему вдруг они решили разом выложить столько информации.
В последнее время правительство США сотрудничает с Европолом, Евроюстом, Интерполом и другими правоохранительными органами в борьбе с кибервымогательскими группировками. В рамках операции GoldDust за последние шесть месяцев был ликвидирован целый ряд кибревымогательских группировок. В операции приняли участие 17 стран мира, и в Европе были арестованы десятки человек, подозреваемых в связях с кибервымогателями. В частности, совместными усилиями была захвачена инфраструктуры REvil, в результате чего группировке пришлось "прикрыть лавочку" во второй раз.
И Кэллоу, и Лиска отмечают, что публикация группировкой Pysa данных атакованных организаций оказалась весьма неожиданной, учитывая, какие меры принимают правоохранительные органы.
"Ничего другого не остается, как только предположить, что они сделали это в ответ на новости о REvil с целью либо показать властям средний палец, либо продемонстрировать уверенность в себе на случай, если их партнеры вдруг начнут идти на попятную", - пояснил Кэллоу.
