Israël : Le ransomware Pay2Key fait de nombreuses victimes parmi les entreprises

Le ransomware semble être une nouvelle souche de logiciel malveillant

Check Point, une entreprise américano-israélienne de cyber-sécurité, a découvert qu’un grand nombre d’entreprises israéliennes, et même de grandes sociétés, ont déclaré avoir été victimes d’attaques par un logiciel de rançon appelé Pay2Key au cours des dernières semaines.

« Alors que certaines de ces attaques ont été menées par des réseaux de ransomware connus comme REvil et Ryuk, plusieurs grandes entreprises ont été victimes d’une attaque de grande envergure avec une variante de rançon inconnue jusqu’alors, appelée Pay2Key » explique le rapport.

Les chercheurs de Check Point se sont associés à une société de renseignement blockchain nommée Whitestream pour plonger dans les adresses de portefeuilles laissées dans les notes de rançon afin de les mener à Excoini, une crypto-bourse basée en Iran.

Les chercheurs de Check Point, sur la base de leur analyse de Pay2Key, ont constaté qu’ils n’étaient pas en mesure de le corréler à une autre souche de logiciel de rançon existant à l’époque. L’équipe a conclu que cette plateforme malveillante avait dû être créée de toutes pièces.

« Les données divulguées de chaque entreprise victime ont été téléchargées dans un dossier dédié sur le site internet, accompagnées d’un message personnalisé des attaquants. Dans ce message, ils partagent des informations sensibles concernant les actifs numériques de la victime, y compris des détails concernant leur domaine, leurs serveurs et leurs sauvegardes » a expliqué Check Point.

« L’enquête menée jusqu’à présent indique que l’attaquant a peut-être eu accès aux réseaux des organisations quelque temps avant l’attaque, mais qu’il a été capable de diffuser rapidement le logiciel rançon à l’ensemble du réseau en moins d’une heure ».

Les chercheurs ont également découvert que les pirates utilisaient le même logo du système de contrat intelligent Pay2Key EOSIO sur Keybase pour mener leurs conversations avec leurs victimes. Cependant, ils ont également suggéré que cela pourrait être dû au fait que les attaquants ont choisi au hasard une image de logo dans Google images.

Les personnes à l’origine du logiciel de rançon Pay2Key exigeaient généralement de leurs victimes des rançons allant de 7 à 9 Bitcoins (BTC). Au moment de la rédaction du présent rapport, cela représente entre 113 800 $ à 146 300 $.

Jusqu’à présent, 4 sociétés ont pris la décision de payer les pirates après que leurs dépôts aient été tracés.

L’arnaque Pay2Key semble avoir commencé un peu après minuit, lorsque les pirates se sont connectés à une machine sur le réseau ciblé – très probablement par le biais du RDP. La machine est définie comme un pivot ou un point proxy au sein du réseau avec l’utilisation d’un programme nommé ConnectPC.exe. À partir de ce point, toutes les communications sortantes entre tous les processus de rançon basés dans le réseau et le serveur C&C des attaquants sont passés par ce proxy.

Traduit par Carolane de Palmas