Pay2Keyランサムウェア: イスラエル企業に対するまったく新しい株

セキュリティ研究者は最近、イスラエル企業に対する攻撃の急増を検出しました. 一部の侵入は、よく知られているランサムウェア株によって実行されました。 ReVil と リューク. でも, 新しいランサムウェアも発見されました, これまで知られていなかったPay2Key.

以前は不明だったPay2Keyランサムウェア

トレンドマイクロの調査によると, Pay2Keyのオペレーターは、おそらく組織へのアクセスを取得しました’ 攻撃前のネットワーク. でも, サイバー犯罪者は、ランサムウェアをネットワーク全体に広めるのにそれほど時間はかかりませんでした–約1時間. “感染フェーズを完了した後, 犠牲者はカスタマイズされた身代金メモを受け取りました, の比較的低い需要で 7-9 ビットコイン (〜$ 110K- $ 140K),” トレンドマイクロによると.

この新しいランサムウェア株の範囲を言うのは時期尚早であることは注目に値します. でも, 研究者’ 調査により、進行中の攻撃を軽減するのに役立つ可能性のあるいくつかの重要な詳細が明らかになりました. レポートの主な調査結果のいくつかは、Pay2KeyがRDPを介して感染する可能性が高く、psexec.exeを使用して企業内のさまざまなマシンで実行することです。.

“ネットワーク通信の設計に特別な注意が払われました, ノイズを低減するために、コマンドアンドコントロールサーバーへの接続中に多数の暗号化されたマシンが生成する可能性があります,” トレンドマイクロは説明します. 暗号化も “個体”, AESとRSAアルゴリズムの組み合わせ.

研究者たちは、この株は特にイスラエルの企業を標的にするために開発されるかもしれないと信じています. これまでの攻撃のタイムラインは次のとおりです:

2020-06-28 –攻撃者は次の名前でKeyBaseアカウントを作成しました “pay2key”
2020-10-26 –最初のランサムウェアサンプルのコンパイル日
2020-10-27 –2番目のランサムウェアサンプルのコンパイル日
2020-10-27 – VTにアップロードされ、同じ日にコンパイルされた最初のPay2Keyサンプル–野生での最初の出現を示している可能性があります.
2020-10-28 – VTにアップロードされた2番目のランサムウェアサンプル–攻撃された可能性のある組織を示します.
2020-11-01 –3番目のサンプルコンパイル日
2020-11-01 –最初に報告された攻撃 (日曜日; イスラエルでの就業日)
2020-11-02 –2番目に報告された攻撃

まったく新しいランサムウェア

これまでに実行された分析は、Pay2Keyと他の既存のランサムウェア株との間に相関関係がないことを示しています. これは、脅威がゼロから開発されたことを意味します, トレンドマイクロが言うように.

このステートメントのもう1つの証拠は、VirusTotalエンジンの1つだけがアップロードされたサンプルを悪意のあるものとして検出したことです。. これは注目に値する, ランサムウェアは、内部機能を隠すためにパッカーやその他の保護を利用しないため. コンパイルアーティファクトは、Pay2Keyが内部的にCobaltという名前であることを示しています, しかし、この名前をコバルトストライクと混同しないでください.

研究者たちはまだその作成者の起源を確信していません. でも, 一貫性のない英語の言い回しが原因, 彼らはサイバー犯罪者が英語を母国語としないのではないかと疑っています.

身代金要求は、システムにドロップされた身代金メモの形で提供されます. メッセージ自体はターゲットに応じてカスタマイズされ、吹き替えられます [組織]_MESSAGE.TXT. 身代金の額は 7 と 9 ビットコイン. でも, 将来の攻撃で変わる可能性があります.