Pesquisadores de segurança detectaram recentemente um aumento nos ataques contra empresas israelenses. Algumas das intrusões foram realizadas por cepas de ransomware bem conhecidas ReVil e Ryuk. Contudo, um novo ransomware também foi localizado, o previamente desconhecido Pay2Key.
Pay2Key Ransomware previamente desconhecido
De acordo com a investigação da TrendMicro, A operadora da Pay2Key provavelmente ganhou acesso às organizações’ redes antes dos ataques. Contudo, os cibercriminosos não precisaram de muito tempo para espalhar o ransomware por toda a rede - cerca de uma hora. “Depois de completar a fase de infecção, as vítimas receberam uma nota de resgate personalizada, com uma demanda relativamente baixa de 7-9 bitcoins (~ $ 110K- $ 140K),” TrendMicro diz.
É digno de nota que é muito cedo para dizer o escopo desta nova cepa de ransomware. Contudo, Os pesquisadores’ investigação revelou alguns detalhes essenciais que podem ajudar a mitigar os ataques em curso. Algumas das principais descobertas do relatório são que o Pay2Key provavelmente infecta via RDP e usa o psexec.exe para executá-lo em diferentes máquinas dentro da empresa.
“Atenção especial foi dada ao design da comunicação da rede, a fim de reduzir o ruído, um grande número de máquinas criptografadas pode gerar ao entrar em contato com os servidores de comando e controle,” TrendMicro explica. A criptografia também é “sólido”, uma combinação de algoritmos AES e RSA.
Os pesquisadores acreditam que esta cepa pode ser desenvolvida para atingir especificamente empresas israelenses.. Aqui está uma linha do tempo dos ataques até agora:
2020-06-28 - O invasor criou uma conta KeyBase com o nome de “pay2key”
2020-10-26 - Primeira data de compilação de amostra de ransomware
2020-10-27 - Segunda data de compilação de amostra de ransomware
2020-10-27 - Primeira amostra Pay2Key carregada para VT e compilada no mesmo dia - pode indicar sua primeira aparição na natureza.
2020-10-28 - Segunda amostra de ransomware carregada para VT - Indicando uma possível organização atacada.
2020-11-01 - Terceira data de compilação de amostra
2020-11-01 - O primeiro ataque relatado (domingo; dia de trabalho em israel)
2020-11-02 - O segundo ataque relatado
Um ransomware totalmente novo
A análise realizada até agora mostra que não há qualquer correlação entre Pay2Key e outras cepas existentes de ransomware. Isso significa que a ameaça foi desenvolvida do zero, como TrendMicro coloca.
Outra prova dessa afirmação é que apenas um dos mecanismos do VirusTotal detectou as amostras carregadas como maliciosas. Isso é notável, já que o ransomware não utiliza um empacotador ou qualquer outra proteção para ocultar sua funcionalidade interna. Artefatos de compilação mostram que Pay2Key é internamente denominado Cobalt, mas este nome não deve ser confundido com Cobalt Strike.
Os pesquisadores ainda não sabem ao certo a origem de seus criadores. Contudo, devido a algumas palavras inglesas inconsistentes, eles suspeitam que os cibercriminosos não são falantes nativos de inglês.
O pedido de resgate vem na forma de uma nota de resgate inserida no sistema. A própria mensagem é personalizada de acordo com o destino e é dublada [ORGANIZAÇÃO]_MESSAGE.TXT. O valor do resgate varia entre 7 e 9 Bitcoins. Contudo, pode mudar com futuros ataques.