Des chercheurs en sécurité ont récemment détecté une vague d'attaques contre des entreprises israéliennes. Certaines des intrusions ont été menées par des souches de ransomwares bien connues ReVil et ryuk. Cependant, un nouveau ransomware a également été repéré, la Pay2Key auparavant inconnue.
Ransomware Pay2Key auparavant inconnu
D'après l'enquête de TrendMicro, L'opérateur de Pay2Key a probablement eu accès aux organisations’ réseaux avant les attaques. Cependant, les cybercriminels n’ont pas eu besoin de beaucoup de temps pour diffuser le ransomware sur l’ensemble du réseau - environ une heure. “Après avoir terminé la phase d'infection, les victimes ont reçu une note de rançon personnalisée, avec une demande relativement faible de 7-9 bitcoins (~ 110 000 $ à 140 000 $),” TrendMicro dit.
Il est à noter qu’il est trop tôt pour dire la portée de cette nouvelle souche de ransomware. Cependant, les chercheurs’ l'enquête a révélé certains détails essentiels qui pourraient aider à atténuer les attaques en cours. Certaines des principales conclusions du rapport sont que Pay2Key infecte très probablement via RDP et qu'il utilise psexec.exe pour l'exécuter sur différentes machines au sein de l'entreprise.
“Une attention particulière a été accordée à la conception de la communication réseau, afin de réduire le bruit, un grand nombre de machines cryptées peuvent générer en contactant les serveurs de Command and Control,” TrendMicro explique. Le cryptage est également “solide”, une combinaison d'algorithmes AES et RSA.
Les chercheurs pensent que cette souche pourrait être développée pour cibler spécifiquement les entreprises israéliennes. Voici une chronologie des attaques jusqu'à présent:
2020-06-28 - L'attaquant a créé un compte KeyBase sous le nom de “pay2key”
2020-10-26 - Date de compilation du premier échantillon de ransomware
2020-10-27 - Date de compilation du deuxième échantillon de ransomware
2020-10-27 - Premier échantillon Pay2Key téléchargé sur VT et compilé le même jour - peut indiquer sa première apparition dans la nature.
2020-10-28 - Deuxième échantillon de ransomware téléchargé sur VT - Indiquant une possible organisation attaquée.
2020-11-01 - Date de compilation du troisième échantillon
2020-11-01 - La première attaque signalée (dimanche; jour ouvrable en Israël)
2020-11-02 - La deuxième attaque signalée
Un ransomware entièrement nouveau
L'analyse effectuée jusqu'à présent montre qu'il n'y a aucune corrélation entre Pay2Key et d'autres souches existantes de ransomwares. Cela signifie que la menace a été développée à partir de zéro, comme le dit TrendMicro.
Une autre preuve de cette affirmation est que seul un des moteurs VirusTotal a détecté les échantillons téléchargés comme malveillants. C'est remarquable, car le ransomware n'utilise pas de packer ni aucune autre protection pour dissimuler sa fonctionnalité interne. Les artefacts de compilation montrent que Pay2Key est nommé en interne Cobalt, mais ce nom ne doit pas être confondu avec Cobalt Strike.
Les chercheurs ne sont toujours pas sûrs de l'origine de ses créateurs. Cependant, en raison d'une formulation anglaise incohérente, ils soupçonnent que les cybercriminels ne sont pas de langue maternelle anglaise.
La demande de rançon se présente sous la forme d'une note de rançon déposée dans le système. Le message lui-même est personnalisé en fonction de la cible et est doublé [ORGANISATION]_MESSAGE.TXT. Le montant de la rançon varie entre 7 et 9 Bitcoins. Cependant, cela peut changer avec de futures attaques.