El ransomware parece ser un nuevo tipo de software malicioso
Check Point, una firma de seguridad cibernética estadounidense-israelí, descubrió que una gran cantidad de empresas israelíes e incluso grandes corporaciones informaron que fueron víctimas de ataques por un ransomware llamado Pay2Key en las últimas semanas.
“Si bien algunos de los ataques fueron llevados a cabo por cadenas de ‘ransomware’ conocidas como REvil y Ryuk, varias grandes corporaciones experimentaron un ataque completo con una variante de previamente desconocida llamada Pay2Key”, explica el informe.
Los investigadores de Check Point se asociaron con una firma de inteligencia blockchain llamada Whitestream para investigar las direcciones de los monederos que se dejaron en notas del ransomware, las cuales los llevaron hasta Excoini, un exchange de criptomonedas con sede en Irán.
Los investigadores de Check Point, basándose en su análisis de Pay2Key, descubrieron que no podían correlacionarlo con ninguna otra cepa de ransomware existente en ese momento. El equipo concluyó que esta plataforma maliciosa tenía que haberse creado desde cero.
“Los datos filtrados de cada empresa víctima se cargaron en una carpeta dedicada en el sitio web, acompañados de un mensaje personalizado de los atacantes. En el mensaje comparten información sensible sobre los activos digitales de la víctima, incluyendo detalles sobre su dominio, servidores y copias de seguridad”, explicó Check Point.
“La investigación hasta ahora indica que el atacante pudo haber obtenido acceso a las redes de las organizaciones en algún momento antes del ataque, pero tuvo la capacidad de realizar un movimiento rápido de propagación del ‘ransomware’ en una hora a toda la red”.
Los investigadores también encontraron que los piratas informáticos utilizaron el mismo logotipo del sistema de contrato inteligente Pay2Key EOSIO en Keybase para llevar a cabo sus conversaciones con sus víctimas. Sin embargo, también sugirieron que esto podría haber sido el resultado de que los atacantes eligieron al azar una imagen de logotipo de las imágenes de Google.
Las personas detrás del ransomware Pay2Key generalmente exigían a sus víctimas rescates entre siete y nueve bitcoines (BTC). En el momento de redactar este informe, esto asciende aproximadamente a 113 800 USD a 146 300 USD.
Hasta ahora, cuatro empresas han tomado la decisión de pagar a los piratas informáticos después de que se rastrearan sus depósitos.
El esquema Pay2Key parece comenzar un poco después de la medianoche, cuando los atacantes se conectarían a una máquina en la red objetivo, probablemente a través del RDP. La máquina se define como un pivote o punto proxy dentro de la red, con el uso de un programa llamado ConnectPC.exe. A partir de este punto, toda la comunicación saliente entre todos los procesos de ransomware basados en la red y el servidor C&C del atacante pasará por este proxy.