Accueil > Nouvelles Cyber > Pay2Key Ransomware: Une toute nouvelle tension contre les entreprises israéliennes
CYBER NOUVELLES

Pay2Key Ransomware: Une toute nouvelle tension contre les entreprises israéliennes

Des chercheurs en sécurité ont récemment détecté une vague d'attaques contre des entreprises israéliennes. Certaines des intrusions ont été menées par des souches de ransomwares bien connues ReVil et ryuk. Cependant, un nouveau ransomware a également été repéré, la Pay2Key auparavant inconnue.

Ransomware Pay2Key auparavant inconnu

D'après l'enquête de TrendMicro, L'opérateur de Pay2Key a probablement eu accès aux organisations’ réseaux avant les attaques. Cependant, les cybercriminels n’ont pas eu besoin de beaucoup de temps pour diffuser le ransomware sur l’ensemble du réseau - environ une heure. “Après avoir terminé la phase d'infection, les victimes ont reçu une note de rançon personnalisée, avec une demande relativement faible de 7-9 bitcoins (~ 110 000 $ à 140 000 $),” TrendMicro dit.




Il est à noter qu’il est trop tôt pour dire la portée de cette nouvelle souche de ransomware. Cependant, les chercheurs’ l'enquête a révélé certains détails essentiels qui pourraient aider à atténuer les attaques en cours. Certaines des principales conclusions du rapport sont que Pay2Key infecte très probablement via RDP et qu'il utilise psexec.exe pour l'exécuter sur différentes machines au sein de l'entreprise.

“Une attention particulière a été accordée à la conception de la communication réseau, afin de réduire le bruit, un grand nombre de machines cryptées peuvent générer en contactant les serveurs de Command and Control,” TrendMicro explique. Le cryptage est également “solide”, une combinaison d'algorithmes AES et RSA.

Les chercheurs pensent que cette souche pourrait être développée pour cibler spécifiquement les entreprises israéliennes. Voici une chronologie des attaques jusqu'à présent:

2020-06-28 - L'attaquant a créé un compte KeyBase sous le nom de “pay2key”
2020-10-26 - Date de compilation du premier échantillon de ransomware
2020-10-27 - Date de compilation du deuxième échantillon de ransomware
2020-10-27 - Premier échantillon Pay2Key téléchargé sur VT et compilé le même jour - peut indiquer sa première apparition dans la nature.
2020-10-28 - Deuxième échantillon de ransomware téléchargé sur VT - Indiquant une possible organisation attaquée.
2020-11-01 - Date de compilation du troisième échantillon
2020-11-01 - La première attaque signalée (dimanche; jour ouvrable en Israël)
2020-11-02 - La deuxième attaque signalée

Un ransomware entièrement nouveau

L'analyse effectuée jusqu'à présent montre qu'il n'y a aucune corrélation entre Pay2Key et d'autres souches existantes de ransomwares. Cela signifie que la menace a été développée à partir de zéro, comme le dit TrendMicro.

Une autre preuve de cette affirmation est que seul un des moteurs VirusTotal a détecté les échantillons téléchargés comme malveillants. C'est remarquable, car le ransomware n'utilise pas de packer ni aucune autre protection pour dissimuler sa fonctionnalité interne. Les artefacts de compilation montrent que Pay2Key est nommé en interne Cobalt, mais ce nom ne doit pas être confondu avec Cobalt Strike.

Les chercheurs ne sont toujours pas sûrs de l'origine de ses créateurs. Cependant, en raison d'une formulation anglaise incohérente, ils soupçonnent que les cybercriminels ne sont pas de langue maternelle anglaise.

La demande de rançon se présente sous la forme d'une note de rançon déposée dans le système. Le message lui-même est personnalisé en fonction de la cible et est doublé [ORGANISATION]_MESSAGE.TXT. Le montant de la rançon varie entre 7 et 9 Bitcoins. Cependant, cela peut changer avec de futures attaques.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord