I ricercatori della sicurezza hanno recentemente rilevato un aumento degli attacchi contro le aziende israeliane. Alcune delle intrusioni sono state eseguite da noti ceppi di ransomware ReVil e Ryuk. Tuttavia, è stato individuato anche un nuovo ransomware, la Pay2Key precedentemente sconosciuta.
Pay2Key Ransomware precedentemente sconosciuto
Secondo l'indagine di TrendMicro, Molto probabilmente l'operatore di Pay2Key ha ottenuto l'accesso alle organizzazioni’ reti prima degli attacchi. Tuttavia, i criminali informatici non hanno avuto bisogno di molto tempo per diffondere il ransomware su tutta la rete - circa un'ora. “Dopo aver completato la fase di infezione, le vittime hanno ricevuto una richiesta di riscatto personalizzata, con una domanda relativamente bassa di 7-9 bitcoin (~ $ 110.000- $ 140.000),” TrendMicro dice.
È interessante notare che è troppo presto per dire la portata di questo nuovo ceppo ransomware. Tuttavia, i ricercatori’ l'indagine ha rivelato alcuni dettagli essenziali che possono aiutare a mitigare gli attacchi in corso. Alcuni dei risultati chiave del rapporto sono che Pay2Key molto probabilmente infetta tramite RDP e che utilizza psexec.exe per eseguirlo su macchine diverse all'interno dell'azienda.
“Particolare attenzione è stata data alla progettazione della comunicazione in rete, al fine di ridurre il rumore può generare un gran numero di macchine crittografate durante il contatto con i server di comando e controllo,” TrendMicro spiega. La crittografia è anche “solido”, una combinazione di algoritmi AES e RSA.
I ricercatori ritengono che questo ceppo possa essere sviluppato per prendere di mira specificamente le aziende israeliane. Ecco una cronologia degli attacchi fino ad ora:
2020-06-28 - L'attaccante ha creato un account KeyBase con il nome di “pay2key”
2020-10-26 - Data di compilazione del primo campione di ransomware
2020-10-27 - Data di compilazione del secondo campione di ransomware
2020-10-27 - Primo campione Pay2Key caricato su VT e compilato lo stesso giorno - potrebbe indicare la sua prima apparizione in natura.
2020-10-28 - Secondo campione di ransomware caricato su VT: indica una possibile organizzazione attaccata.
2020-11-01 - Data di compilazione del terzo campione
2020-11-01 - Il primo attacco segnalato (Domenica; giornata lavorativa in Israele)
2020-11-02 - Il secondo attacco segnalato
Un ransomware completamente nuovo
L'analisi eseguita finora mostra che non esiste alcuna correlazione tra Pay2Key e altri ceppi esistenti di ransomware. Ciò significa che la minaccia è stata sviluppata da zero, come afferma TrendMicro.
Un'altra prova di questa affermazione è che solo uno dei motori di VirusTotal ha rilevato i campioni caricati come dannosi. Questo è notevole, poiché il ransomware non utilizza un packer o qualsiasi altra protezione per nascondere la sua funzionalità interna. Gli artefatti della compilazione mostrano che Pay2Key è internamente denominato Cobalt, ma questo nome non deve essere confuso con Cobalt Strike.
I ricercatori non sono ancora sicuri dell'origine dei suoi creatori. Tuttavia, a causa di una formulazione inglese incoerente, sospettano che i criminali informatici non siano madrelingua inglese.
La richiesta di riscatto arriva sotto forma di una richiesta di riscatto inserita nel sistema. Il messaggio stesso viene personalizzato in base al target e viene doppiato [ORGANIZZAZIONE]_MESSAGE.TXT. L'importo del riscatto varia tra 7 e 9 Bitcoins. Tuttavia, potrebbe cambiare con attacchi futuri.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: