Les chercheurs en cybersécurité ont découvert une nouvelle menace sur le réseau : un ransomware appelé Pay2Key qui applique une nouvelle méthodologie d'attaque pour extorquer et escroquer ses victimes en moins d'une heure. 

Le danger potentiel que représente ce nouveau ransomware actuellement, cela est dû à sa rapidité à exécuter une attaque. Pay2Clé est conçu pour détourner et chiffrer les données de la victime en moins d'une heure, puis exiger une rançon en crypto-monnaies. Comme l’explique la division de renseignement sur les cybermenaces : Check Point Research, ce ransomware jusqu'alors inconnu dirige depuis début novembre des attaques contre des entreprises israéliennes, accédant aux réseaux de plusieurs organisations et entreprises de ce pays pour détourner leurs données. 

Check Point se démarque sur votre recherche que l'attaquant derrière ce ransomware a peut-être accédé aux réseaux des victimes à un moment donné avant d'exécuter l'attaque, mais que Pay2Key présente également une qualité importante et inquiétante : la capacité « agissez rapidement pour propager le ransomware en une heure sur l'ensemble du réseau ». De leur côté, les chercheurs de Check Point soulignent qu'après avoir exécuté l'attaque et terminé l'infection de l'ensemble du réseau, les victimes ont reçu un message des attaquants indiquant qu'elles devaient payer une récompense pour retrouver l'accès et le contrôle de leurs données et cryptées. informations et, de l'avis des chercheurs, le montant demandé en récompense est relativement faible ; entre environ 7 et 9 bitcoins (BTC), équivalant respectivement à environ 112.000 144.000 USD et XNUMX XNUMX USD, sur la base du prix actuel de la crypto-monnaie au moment de la publication. 

Il peut vous intéresser: Un bug critique frappe les multisigs Bitcoin SV

Qui est concerné par ce ransomware ?

Cette attaque vise les systèmes d'exploitation Windows et selon les chercheurs, l'infection initiale du réseau s'effectue probablement via une connexion RDP (Remote Desktop Protocol ou Remote Desktop Protocol), qui permet la communication entre un serveur et un terminal pour l'exécution d'une application ou d'un logiciel. De même, les chercheurs précisent que nous sommes confrontés à l'un des ransomwares les plus solides du marché, puisque Pay2Key utilise les algorithmes AES et RSA pour le cryptage. 

Message de récompense demandé par les attaquants Pay2Key.
Source : Recherche Check Point

Origine de Pay2Key

Apparemment, les chercheurs de Check Point n'ont pas été en mesure de relier ce ransomware à d'autres logiciels malveillants de cette famille connus sur le marché, ils supposent donc qu'il s'agit d'un ransomware développé à partir de zéro. L'équipe de chercheurs a également noté que l'identité de l'attaquant est encore inconnue, même si plusieurs traces détectées dans le code suggèrent qu'il n'est pas un « anglophone natif ». Check Point souligne qu'il existe de nombreuses fautes de frappe dans le code et le fichier journal, y compris plusieurs incohérences qui montrent que la personne n'est peut-être pas originaire de pays anglophones. 

"Lors de l'analyse du fonctionnement du ransomware Pay2Key, nous n'avons pas pu le corréler avec une autre souche de ransomware existante et il semble avoir été développé à partir de zéro."

La première fois que ce ransomware a été détecté, c’était le 26 octobre, lorsque son « premier échantillon » compilé a été enregistré. En revanche, la première attaque enregistrée avec ce ransomware s'est produite environ une semaine après son apparition, le 1er novembre, lorsqu'une entreprise israélienne a signalé l'incident. 

Ce ransomware est écrit en langage C++, langage dominant dans le code Bitcoin, Bitcoin Core; De plus, Pay2Key est compilé avec MSVC++ 2015, ce qui permet de diriger plus facilement ses attaques vers des cibles spécifiques, rapportent les chercheurs. 

Ransomware difficile à détecter

Check Point révèle que, pour le moment, seul le service d'analyse antivirus VirusTotal, créé par la société espagnole Hispasec Sistemas, a pu détecter le ransomware, même s'il n'utilise pas de "Packer" ni de protection d'aucune sorte pour cacher sa fonctionnalité interne malveillante. En ce sens, il semble difficile pour les autres antivirus du marché de détecter ce problème et que les utilisateurs de systèmes d'exploitation Windows devraient faire preuve de bon sens pour tenter de se protéger contre la nouvelle menace. Il révèle également que pendant le temps qu'ils ont analysé le ransomware, ils ont remarqué plusieurs améliorations du code, ce qui montre que les créateurs de ce logiciel malveillant y travaillent activement et ajoutent de nouvelles fonctions pour améliorer les attaques. 

« Dans la dernière version du ransomware, nous avons remarqué que les attaquants avaient ajouté un mécanisme d'autodestruction, ainsi qu'un nouvel argument de ligne de commande – noreboot. Le nouveau mécanisme de « nettoyage » est chargé de supprimer les fichiers créés par l’attaquant et de redémarrer la machine.

Curieusement, Check Point souligne que le compte KeyBase, créé sous le nom de « Pay2Key », affiche le même logo du contrat intelligent Pay2Key EOSIO, apparemment parce que lors de la recherche de « Pay2Key » sur Google Images, le logo du contrat intelligent est l'un des premiers résultats visibles. 

Les risques de double extorsion Pay2Key

En plus de kidnapper et de chiffrer les données et informations des victimes et d'exiger le paiement d'une rançon, les attaquants mettent en œuvre une nouvelle technique, de plus en plus courante dans le domaine des cyberattaques, pour exercer une plus grande pression sur leurs victimes et les obliger à payer la rançon demandée dans les plus brefs délais. temps possible. 

« La double extorsion est une tactique qui exerce une pression supplémentaire sur les victimes pour qu'elles paient la rançon, avec la menace de fuite des données d'entreprise volées sur les réseaux en ligne des victimes. »

Ainsi, Pay2Key suit cette tendance consistant à menacer ses victimes de publier les informations kidnappées au cas où les victimes refuseraient de payer une rançon ou comme indiqué dans le message des attaquants ; libérer « informations importantes… au cas où nous ne pourrions pas faire une bonne affaire ! ». Les chercheurs de Check Point affirment que les attaquants semblent prêts à donner suite à ces menaces, en créant un nouveau site Web appelé Onion, destiné à partager les données divulguées par les victimes de Pay2Key qui ne paient pas la récompense. 

Oignon, site de fuite Pay2Key.
Source : Recherche Check Point

À ce jour, les données de 3 entreprises israéliennes victimes de cette attaque ont été publiées sur le site et bien que l'attaque soit principalement dirigée contre des organisations et des entreprises de ce pays, une signaler de balayage enregistre une nouvelle victime en Europe. 

Suivi des sauvetages

Apparemment, environ 4 entreprises attaquées avec ce ransomware ont effectué le paiement de la rançon, ce qui a permis à l'équipe de chercheurs de suivre la destination des paiements effectués en BTC. Comme nous le savons bien, Bitcoin est un réseau décentralisé et open source, donc les paiements et transactions effectués au sein de celui-ci la blockchain en terrain de jeu Ils peuvent être suivis depuis leur origine jusqu'à leur destination finale. 

Ainsi, Check Point indique que, en analysant les transactions en BTC à partir du moment où les victimes effectuent le dépôt à l'adresse envoyée par l'attaquant et tout le parcours de cet argent à travers différentes adresses de «portefeuilles intermédiaires", ils ont réussi à détecter que l'adresse du "portefeuille final" est associée à la société de services financiers avec des crypto-monnaies Excoino, qui a son siège social en Iran. Selon le rapport, cette société exige que l'utilisateur dispose d'un numéro de téléphone iranien valide et d'un code d'identification ; De plus, pour pouvoir opérer sur la bourse, Exocoino nécessite également une copie d'une pièce d'identité, de sorte que les propriétaires des portefeuilles finaux sont des citoyens iraniens, qui sont probablement à l'origine de l'attaque contre des entreprises israéliennes.

Recommandations de sécurité

Tout d'abord, les chercheurs suggèrent que vous conserviez des sauvegardes à jour des données et informations stockées les plus importantes, de sorte que si vous êtes victime de ce ransomware, vous puissiez accéder aux informations. De même, il est recommandé que les versions de l'antivirus Windows et d'autres applications soient maintenues à jour et que ces mises à jour soient téléchargées à partir des sites Web officiels des entreprises et non à partir de liens ou de pièces jointes dans des e-mails ou à partir de sites annoncés par des moyens externes. 

Les développeurs considèrent également qu'il est important de rester informé des nouvelles cyberattaques et menaces qui émergent sur le marché afin que les utilisateurs, les entreprises et les organisations puissent avoir une « conscience de la situation » des risques existants qui compromettent leurs informations. Et si vous détectez une anomalie, il est suggéré de la signaler immédiatement au prestataire de services de cybersécurité ou au service de sécurité informatique de l'entreprise ou de l'organisation correspondante. 

Continuer la lecture: Nouvelle APT : ESET découvre le groupe XDSpy qui vole des données confidentielles aux gouvernements européens