Los investigadores de seguridad detectaron recientemente un aumento en los ataques contra empresas israelíes. Algunas de las intrusiones fueron llevadas a cabo por cepas de ransomware conocidas ReVil y Ryuk. Sin embargo, también se detectó un nuevo ransomware, el Pay2Key previamente desconocido.
Pay2Key Ransomware anteriormente desconocido
Según la investigación de TrendMicro, Es muy probable que el operador de Pay2Key haya obtenido acceso a las organizaciones’ redes antes de los ataques. Sin embargo, los ciberdelincuentes no necesitaron mucho tiempo para difundir el ransomware en toda la red, aproximadamente una hora. “Después de completar la fase de infección, las víctimas recibieron una nota de rescate personalizada, con una demanda relativamente baja de 7-9 bitcoins (~ $ 110K- $ 140K),” TrendMicro dice.
Cabe destacar que es demasiado pronto para decir el alcance de esta nueva cepa de ransomware. Sin embargo, los investigadores’ La investigación ha revelado algunos detalles esenciales que pueden ayudar a mitigar los ataques en curso.. Algunos de los hallazgos clave del informe son que Pay2Key probablemente infecta a través de RDP y que usa psexec.exe para ejecutarlo en diferentes máquinas dentro de la empresa..
“Se prestó especial atención al diseño de la red de comunicación., Para reducir el ruido, una gran cantidad de máquinas cifradas pueden generar al contactar con los servidores de Comando y Control.,” TrendMicro explica. El cifrado también es “sólido”, una combinación de algoritmos AES y RSA.
Los investigadores creen que esta cepa puede desarrollarse para apuntar específicamente a empresas israelíes.. Aquí tienes una cronología de los ataques hasta ahora:
2020-06-28 - El atacante creó una cuenta de KeyBase con el nombre de “pay2key”
2020-10-26 - Fecha de compilación de la primera muestra de ransomware
2020-10-27 - Fecha de compilación de la segunda muestra de ransomware
2020-10-27 - Primera muestra de Pay2Key cargada en VT y compilada el mismo día - puede indicar su primera aparición en la naturaleza.
2020-10-28 - Segunda muestra de ransomware cargada en VT - Indica una posible organización atacada.
2020-11-01 - Fecha de compilación de la tercera muestra
2020-11-01 - El primer ataque reportado (domingo; jornada laboral en Israel)
2020-11-02 - El segundo ataque reportado
Un ransomware completamente nuevo
El análisis realizado hasta ahora muestra que no existe ninguna correlación entre Pay2Key y otras variedades de ransomware existentes.. Esto significa que la amenaza se ha desarrollado desde cero., como dice TrendMicro.
Otra prueba de esta afirmación es que solo uno de los motores VirusTotal detectó las muestras cargadas como maliciosas.. Esto es notable, ya que el ransomware no utiliza un empaquetador ni ninguna otra protección para ocultar su funcionalidad interna. Los artefactos de compilación muestran que Pay2Key se llama internamente Cobalt, pero este nombre no debe confundirse con Cobalt Strike.
Los investigadores aún no están seguros del origen de sus creadores.. Sin embargo, debido a algunas palabras en inglés inconsistentes, sospechan que los ciberdelincuentes no son hablantes nativos de inglés.
La demanda de rescate viene en forma de una nota de rescate que se ingresa al sistema.. El mensaje en sí se personaliza de acuerdo con el objetivo y se dobla [ORGANIZACIÓN]_MESSAGE.TXT. El monto del rescate varía entre 7 y 9 Bitcoins. Sin embargo, puede cambiar con futuros ataques.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: