Casa > cibernético Notícias > Pay2Key Ransomware: Totalmente nova tensão definida contra empresas israelenses
CYBER NEWS

Pay2Key Ransomware: Totalmente nova tensão definida contra empresas israelenses

Pesquisadores de segurança detectaram recentemente um aumento nos ataques contra empresas israelenses. Algumas das intrusões foram realizadas por cepas de ransomware bem conhecidas ReVil e Ryuk. Contudo, um novo ransomware também foi localizado, o previamente desconhecido Pay2Key.

Pay2Key Ransomware previamente desconhecido

De acordo com a investigação da TrendMicro, A operadora da Pay2Key provavelmente ganhou acesso às organizações’ redes antes dos ataques. Contudo, os cibercriminosos não precisaram de muito tempo para espalhar o ransomware por toda a rede - cerca de uma hora. “Depois de completar a fase de infecção, as vítimas receberam uma nota de resgate personalizada, com uma demanda relativamente baixa de 7-9 bitcoins (~ $ 110K- $ 140K),” TrendMicro diz.




É digno de nota que é muito cedo para dizer o escopo desta nova cepa de ransomware. Contudo, Os pesquisadores’ investigação revelou alguns detalhes essenciais que podem ajudar a mitigar os ataques em curso. Algumas das principais descobertas do relatório são que o Pay2Key provavelmente infecta via RDP e usa o psexec.exe para executá-lo em diferentes máquinas dentro da empresa.

“Atenção especial foi dada ao design da comunicação da rede, a fim de reduzir o ruído, um grande número de máquinas criptografadas pode gerar ao entrar em contato com os servidores de comando e controle,” TrendMicro explica. A criptografia também é “sólido”, uma combinação de algoritmos AES e RSA.

Os pesquisadores acreditam que esta cepa pode ser desenvolvida para atingir especificamente empresas israelenses.. Aqui está uma linha do tempo dos ataques até agora:

2020-06-28 - O invasor criou uma conta KeyBase com o nome de “pay2key”
2020-10-26 - Primeira data de compilação de amostra de ransomware
2020-10-27 - Segunda data de compilação de amostra de ransomware
2020-10-27 - Primeira amostra Pay2Key carregada para VT e compilada no mesmo dia - pode indicar sua primeira aparição na natureza.
2020-10-28 - Segunda amostra de ransomware carregada para VT - Indicando uma possível organização atacada.
2020-11-01 - Terceira data de compilação de amostra
2020-11-01 - O primeiro ataque relatado (domingo; dia de trabalho em israel)
2020-11-02 - O segundo ataque relatado

Um ransomware totalmente novo

A análise realizada até agora mostra que não há qualquer correlação entre Pay2Key e outras cepas existentes de ransomware. Isso significa que a ameaça foi desenvolvida do zero, como TrendMicro coloca.

Outra prova dessa afirmação é que apenas um dos mecanismos do VirusTotal detectou as amostras carregadas como maliciosas. Isso é notável, já que o ransomware não utiliza um empacotador ou qualquer outra proteção para ocultar sua funcionalidade interna. Artefatos de compilação mostram que Pay2Key é internamente denominado Cobalt, mas este nome não deve ser confundido com Cobalt Strike.

Os pesquisadores ainda não sabem ao certo a origem de seus criadores. Contudo, devido a algumas palavras inglesas inconsistentes, eles suspeitam que os cibercriminosos não são falantes nativos de inglês.

O pedido de resgate vem na forma de uma nota de resgate inserida no sistema. A própria mensagem é personalizada de acordo com o destino e é dublada [ORGANIZAÇÃO]_MESSAGE.TXT. O valor do resgate varia entre 7 e 9 Bitcoins. Contudo, pode mudar com futuros ataques.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo