De ransomware lijkt een nieuw type schadelijke software te zijn
Check Point, een Amerikaans-Israëlisch cyber beveiligingsbedrijf ontdekte dat een groot aantal Israëlische bedrijven en zelfs grote bedrijven hadden gemeld dat ze de afgelopen weken het slachtoffer waren geworden van ransomware aanvallen door een ransomware genaamd Pay2Key.
“Terwijl sommige van deze aanvallen door bekende ransomware stammen zoals REvil en Ryuk uitgevoerd werden, ondervonden verschillende grote bedrijven een complete aanval met een voorheen onbekende ransomware variant genaamd Pay2Key”, legt het rapport uit.
De onderzoekers van Check Point werkten met een blockchain informatiebureau genaamd Whitestream samen om in de wallet adressen te duiken die in de ransomware notities waren achtergelaten om hen zo naar Excoini te leiden, een cryptogeld uitwisseling die in Iran is gevestigd.
De Check Point onderzoekers ontdekten op basis van hun Pay2Key analyse, dat ze het op dat moment niet met een ander bestaand type ransomware konden correleren. Het team concludeerde dat dit kwaadaardige platform geheel nieuw gecreëerd moest zijn.
“De gelekte data van elk slachtofferbedrijf werden naar een speciale map op de website geüpload, vergezeld van een op maat gemaakt bericht van de hackers. In het bericht delen ze gevoelige informatie over de digitale middelen van het slachtoffer, waaronder details over hun domein, servers en back-ups”, legt Check Point uit.
“Het onderzoek geeft tot dusver aan dat de aanvaller misschien enige tijd voor de aanval toegang tot de netwerken van de organisatie had gekregen, die de mogelijkheid bood om de ransomware snel binnen een uur over het hele netwerk te verspreiden.”
De onderzoekers ontdekten verder dat de hackers hetzelfde logo van het Pay2Key EOSIO smart contract systeem op Keybase gebruikten om hun conversaties met hun slachtoffers te voeren. Ze suggereerden echter tevens dat dit het gevolg zou kunnen zijn van het feit dat de aanvallers een willekeurige logo van op Google gevonden afbeeldingen hadden gekozen.
De personen achter de Pay2Key ransomware eisten van hun slachtoffers veelal een losgeld van zeven tot negen Bitcoin (BTC). Op het moment van schrijven komt dit op ongeveer 113.800 tot 146.300 dollar neer.
Tot nu toe hebben vier bedrijven de beslissing genomen om de hackers te betalen nadat hun deposito’s opgespoord zijn.
De Pay2Key aanvallen lijken meestal iets na middernacht aan te vangen, wanneer de aanvallers met een machine op het beoogde netwerk verbinding maken, dat hoogstwaarschijnlijk via het RDP loopt. De machine wordt vervolgens met behulp van een programma genaamd ConnectPC.exe als een proxypunt binnen het netwerk gedefinieerd. Vanaf dit moment verloopt alle uitgaande communicatie tussen alle ransomware processen in het netwerk en de C&C server van de aanvaller via deze proxy.