Beveiligingsonderzoekers hebben onlangs een golf van aanvallen op Israëlische bedrijven vastgesteld. Sommige van de inbraken werden uitgevoerd door bekende ransomware-stammen Revil en Ryuk. Echter, er werd ook een nieuwe ransomware gespot, de voorheen onbekende Pay2Key.
Eerder onbekende Pay2Key Ransomware
Volgens het onderzoek van TrendMicro, De operator van Pay2Key heeft hoogstwaarschijnlijk toegang gekregen tot de organisaties’ netwerken voorafgaand aan de aanvallen. Echter, de cybercriminelen hadden niet veel tijd nodig om de ransomware over het hele netwerk te verspreiden - ongeveer een uur. “Na voltooiing van de infectiefase, de slachtoffers ontvingen een op maat gemaakt losgeldbriefje, met een relatief lage vraag naar 7-9 bitcoins (~ $ 110.000 - $ 140.000),” TrendMicro zegt.
Het is opmerkelijk dat het te vroeg is om de omvang van deze nieuwe ransomware-stam te zeggen. Echter, de onderzoekers’ Onderzoek heeft enkele essentiële details aan het licht gebracht die kunnen helpen de aanhoudende aanvallen te verzachten. Enkele van de belangrijkste bevindingen van het rapport zijn dat Pay2Key hoogstwaarschijnlijk infecteert via RDP en dat het psexec.exe gebruikt om het uit te voeren op verschillende machines binnen de onderneming.
“Speciale aandacht werd besteed aan het ontwerp van de netwerkcommunicatie, om de ruis te verminderen die een groot aantal gecodeerde machines kan genereren wanneer ze contact opnemen met de Command and Control-servers,” TrendMicro verklaart. De codering is ook “solide”, een combinatie van AES- en RSA-algoritmen.
De onderzoekers zijn van mening dat deze soort kan worden ontwikkeld om zich specifiek op Israëlische bedrijven te richten. Hier is een tijdlijn van de aanslagen tot dusver:
2020-06-28 - De aanvaller heeft een KeyBase-account gemaakt met de naam “pay2key”
2020-10-26 - Compilatiedatum van het eerste voorbeeld van een ransomware
2020-10-27 - Tweede compilatiedatum van het voorbeeld van een ransomware
2020-10-27 - Eerste Pay2Key-monster geüpload naar VT en samengesteld op dezelfde dag - kan erop wijzen dat het voor het eerst in het wild verschijnt.
2020-10-28 - Tweede ransomwaremonster geüpload naar VT - Geeft een mogelijk aangevallen organisatie aan.
2020-11-01 - Datum derde voorbeeldsamenstelling
2020-11-01 - De eerste gemelde aanval (zondag; werkdag in Israël)
2020-11-02 - De tweede gemelde aanval
Een geheel nieuwe ransomware
De tot dusver uitgevoerde analyse toont aan dat er geen verband is tussen Pay2Key en andere bestaande soorten ransomware. Dit betekent dat de dreiging vanaf nul is ontwikkeld, zoals TrendMicro het stelt.
Een ander bewijs voor deze verklaring is dat slechts één van de VirusTotal-engines de geüploade voorbeelden als kwaadaardig heeft gedetecteerd. Dit is opmerkelijk, aangezien de ransomware geen packer of enige andere bescherming gebruikt om de interne functionaliteit te verbergen. Compilatie-artefacten laten zien dat Pay2Key intern Cobalt heet, maar deze naam moet niet worden verward met Cobalt Strike.
De onderzoekers zijn nog steeds niet zeker van de oorsprong van de makers. Echter, vanwege een inconsistente Engelse formulering, ze vermoeden dat de cybercriminelen geen Engelse moedertaalsprekers zijn.
De vraag om losgeld komt in de vorm van een losgeldbrief in het systeem. Het bericht zelf wordt aangepast aan het doel en wordt nagesynchroniseerd [ORGANISATIE]_MESSAGE.TXT. Het losgeldbedrag varieert tussen 7 en 9 Bitcoins. Echter, het kan veranderen met toekomstige aanvallen.