Sicherheitsforscher haben kürzlich einen Anstieg der Angriffe auf israelische Unternehmen festgestellt. Einige der Eingriffe wurden von bekannten Ransomware-Stämmen durchgeführt ReVil und Ryuk. Jedoch, Eine neue Ransomware wurde ebenfalls entdeckt, der bisher unbekannte Pay2Key.
Bisher unbekannte Pay2Key Ransomware
Laut der Untersuchung von TrendMicro, Der Betreiber von Pay2Key hat höchstwahrscheinlich Zugang zu den Organisationen erhalten’ Netzwerke vor den Angriffen. Jedoch, Die Cyberkriminellen brauchten nicht viel Zeit, um die Ransomware über das gesamte Netzwerk zu verbreiten - ungefähr eine Stunde. “Nach Abschluss der Infektionsphase, Die Opfer erhielten einen individuellen Lösegeldschein, mit einer relativ geringen Nachfrage von 7-9 Bitcoins (~ $ 110K- $ 140K),” TrendMicro sagt.
Es ist bemerkenswert, dass es noch zu früh ist, um den Umfang dieser neuen Ransomware-Sorte zu beurteilen. Jedoch, die Forscher’ Die Untersuchung hat einige wesentliche Details ergeben, die dazu beitragen können, die laufenden Angriffe abzuschwächen. Einige der wichtigsten Ergebnisse des Berichts sind, dass Pay2Key höchstwahrscheinlich über RDP infiziert wird und psexec.exe verwendet, um es auf verschiedenen Computern im Unternehmen auszuführen.
“Besonderes Augenmerk wurde auf die Gestaltung der Netzwerkkommunikation gelegt, Um das Rauschen zu reduzieren, kann eine große Anzahl verschlüsselter Maschinen beim Kontaktieren der Command and Control-Server entstehen,” Trend Micro erklärt. Die Verschlüsselung ist auch “solide”, eine Kombination aus AES- und RSA-Algorithmen.
Die Forscher glauben, dass dieser Stamm speziell für israelische Unternehmen entwickelt werden kann. Hier ist eine Zeitleiste der bisherigen Angriffe:
2020-06-28 - Der Angreifer hat ein KeyBase-Konto mit dem Namen erstellt “pay2key”
2020-10-26 - Erstes Kompilierungsdatum für Ransomware-Beispiele
2020-10-27 - Zweites Kompilierungsdatum für Ransomware-Beispiele
2020-10-27 - Das erste Pay2Key-Beispiel, das auf VT hochgeladen und am selben Tag zusammengestellt wurde, weist möglicherweise auf sein erstes Auftreten in freier Wildbahn hin.
2020-10-28 - Zweites Ransomware-Beispiel, das auf VT hochgeladen wurde - Hinweis auf eine mögliche angegriffene Organisation.
2020-11-01 - Drittes Datum der Beispielzusammenstellung
2020-11-01 - Der erste gemeldete Angriff (Sonntag; Arbeitstag in Israel)
2020-11-02 - Der zweite gemeldete Angriff
Eine völlig neue Ransomware
Die bisher durchgeführte Analyse zeigt, dass es keine Korrelation zwischen Pay2Key und anderen vorhandenen Ransomware-Stämmen gibt. Dies bedeutet, dass die Bedrohung von Grund auf neu entwickelt wurde, wie TrendMicro es ausdrückt.
Ein weiterer Beweis für diese Aussage ist, dass nur eine der VirusTotal-Engines die hochgeladenen Beispiele als bösartig erkannt hat. Das ist bemerkenswert, da die Ransomware keinen Packer oder anderen Schutz verwendet, um ihre interne Funktionalität zu verbergen. Zusammenstellungsartefakte zeigen, dass Pay2Key intern Cobalt heißt, Dieser Name sollte jedoch nicht mit Cobalt Strike verwechselt werden.
Die Forscher sind sich immer noch nicht sicher, woher ihre Schöpfer stammen. Jedoch, aufgrund einer inkonsistenten englischen Formulierung, Sie vermuten, dass die Cyberkriminellen keine englischen Muttersprachler sind.
Die Lösegeldforderung erfolgt in Form eines Lösegeldscheins, der in das System eingefügt wird. Die Nachricht selbst wird entsprechend dem Ziel angepasst und synchronisiert [ORGANISATION]_MESSAGE.TXT. Der Lösegeldbetrag variiert zwischen 7 und 9 Bitcoins. Jedoch, Dies kann sich bei zukünftigen Angriffen ändern.