Sikkerhedsforskere opdagede for nylig en stigning i angreb mod israelske virksomheder. Nogle af indtrængen blev udført af kendte ransomware-stammer ReVil og Ryuk. Men, en ny ransomware blev også set, det tidligere ukendte Pay2Key.
Tidligere ukendt Pay2Key Ransomware
Ifølge TrendMicros undersøgelse, Pay2Keys operatør har sandsynligvis fået adgang til organisationer’ netværk forud for angrebene. Men, cyberkriminelle behøvede ikke meget tid til at sprede ransomware over hele netværket - omkring en time. “Efter at have afsluttet infektionsfasen, ofrene modtog en skræddersyet løsesumnote, med en relativt lav efterspørgsel på 7-9 Bitcoins (~ $ 110K- $ 140K),” Siger TrendMicro.
Det er bemærkelsesværdigt, at det er for tidligt at sige omfanget af denne nye ransomware-stamme. Men, forskerne’ efterforskning har afsløret nogle vigtige detaljer, der kan hjælpe med at afbøde de igangværende angreb. Nogle af rapportens vigtigste fund er, at Pay2Key sandsynligvis inficerer via RDP, og at den bruger psexec.exe til at udføre det på forskellige maskiner inden for virksomheden..
“Der blev lagt særlig vægt på designet af netværkskommunikationen, for at reducere støj kan et stort antal krypterede maskiner generere, mens de kontakter Command and Control-serverne,” TrendMicro forklarer. Krypteringen er også “solid”, en kombination af AES- og RSA-algoritmer.
Forskerne mener, at denne stamme kan udvikles til specifikt at målrette mod israelske virksomheder. Her er en tidslinje for angrebene hidtil:
2020-06-28 - Angriberen oprettede en KeyBase-konto ved navn “pay2key”
2020-10-26 - Første udgivelsesdato for ransomware-prøve
2020-10-27 - Anden dato for udarbejdelse af ransomware-prøve
2020-10-27 - Første Pay2Key-prøve, der uploades til VT og kompileres samme dag - kan indikere dens første optræden i naturen.
2020-10-28 - Anden ransomware-prøve uploadet til VT - Angiver en mulig angrebet organisation.
2020-11-01 - Tredje prøveudstedelsesdato
2020-11-01 - Det første rapporterede angreb (Søndag; arbejdsdag i Israel)
2020-11-02 - Det andet rapporterede angreb
En helt ny Ransomware
Den hidtil udførte analyse viser, at der ikke er nogen sammenhæng mellem Pay2Key og andre eksisterende stammer af ransomware. Dette betyder, at truslen er udviklet fra bunden, som TrendMicro udtrykker det.
Et andet bevis for denne erklæring er, at kun en af VirusTotal-motorerne opdagede de uploadede prøver som ondsindede. Dette er bemærkelsesværdigt, da ransomware ikke bruger en pakke eller anden beskyttelse til at skjule dens interne funktionalitet. Kompilationsartefakter viser, at Pay2Key internt hedder Cobalt, men dette navn bør ikke forveksles med Cobalt Strike.
Forskerne er stadig usikre på oprindelsen af dens skabere. Men, på grund af nogle inkonsekvente engelske ordlyd, de har mistanke om, at cyberkriminelle ikke er engelsktalende.
Løsesumskravet kommer i form af en løsesumnote, der er faldet i systemet. Selve meddelelsen er tilpasset i henhold til målet og kaldes [ORGANISATION]_MESSAGE.TXT. Løsesummen varierer mellem 7 og 9 Bitcoins. Men, det kan ændre sig med fremtidige angreb.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: