Diverse aziende israeliane sono state vittime del Bitcoin ransomware Pay2Key

Il ransomware sembra essere un nuovo tipo di software dannoso

Check Point, una società di sicurezza informatica americano-israeliana, ha scoperto che un gran numero di società israeliane, e persino di grandi società, hanno riferito di essere state vittime di attacchi ransomware da parte di un ransomware denominato Pay2Key nelle ultime settimane.

“Mentre alcuni degli attacchi sono stati eseguiti da noti filoni di ransomware come REvil e Ryuk, diverse grandi aziende hanno subito un attacco in piena regola con una variante di ransomware precedentemente sconosciuta denominata Pay2Key”, spiega il rapporto.

I ricercatori di Check Point hanno collaborato con una società di intelligence blockchain, chiamata Whitestream, per immergersi negli indirizzi dei portafogli che erano stati lasciati nelle note di ransomware per condurli a Excoini, uno scambio di criptovaluta con sede in Iran.

I ricercatori di Check Point, in base alla loro analisi di Pay2Key, hanno scoperto di non essere in grado di collegarlo a nessun altro ceppo di ransomware esistente al momento. Il team ha concluso che questa dannosa piattaforma doveva essere stata creata da zero.

“I dati trapelati di ciascuna azienda vittima sono stati caricati in una cartella dedicata sul sito Web, accompagnati da un messaggio personalizzato degli aggressori. Nel messaggio condividono informazioni sensibili riguardanti le risorse digitali della vittima, inclusi dettagli riguardanti il ​​loro dominio, server e backup ”, ha spiegato Check Point.

“L’indagine finora indica che l’attaccante potrebbe aver ottenuto l’accesso alle reti delle organizzazioni qualche tempo prima dell’attacco, ma ha presentato la capacità di effettuare una rapida mossa per diffondere il ransomware entro un’ora all’intera rete”.

I ricercatori hanno anche scoperto che gli hacker hanno utilizzato lo stesso logo del sistema di contratti intelligenti Pay2Key EOSIO su Keybase per condurre conversazioni con le loro vittime. Tuttavia, hanno anche suggerito che questo potrebbe essere stato il risultato degli aggressori che sceglievano casualmente un’immagine del logo dalle immagini di Google.

Le persone dietro il ransomware Pay2Key di solito chiedevano riscatti intorno ai sette/nove bitcoin (BTC) dalle loro vittime. Al momento della scrittura, ciò equivale rispettivamente a circa 113.800 USD a 146.300 USD.

Finora, quattro società hanno deciso di pagare gli hacker dopo che i loro depositi sono stati rintracciati.

Lo schema Pay2Key sembra iniziare poco dopo la mezzanotte, quando gli aggressori si connettono a una macchina sulla rete mirata, molto probabilmente tramite RDP. La macchina è definita come un pivot o un punto proxy all’interno della rete, con l’utilizzo di un programma denominato ConnectPC.exe. Da questo momento in poi, tutte le comunicazioni in uscita tra tutti i processi ransomware basati sulla rete e il server C&C degli aggressori passeranno attraverso questo proxy.