Badacze zajmujący się cyberbezpieczeństwem odkryli nowe zagrożenie w sieci: oprogramowanie ransomware o nazwie Pay2Key, które wykorzystuje nową metodologię ataku w celu wyłudzenia i oszukania swoich ofiar w czasie krótszym niż 1 godzina.
Potencjalne niebezpieczeństwo, jakie niesie ze sobą ta nowość ransomware obecnie wykonanie ataku wynika z jego szybkości. Pay2Key ma na celu przejęcie i zaszyfrowanie danych ofiary w czasie krótszym niż 1 godzina, a następnie żądanie okupu kryptowaluty. Jak wyjaśnia dział analityki zagrożeń cybernetycznych: Check Point Research, to nieznane wcześniej oprogramowanie ransomware od początku listopada kieruje ataki na izraelskie firmy, uzyskując dostęp do sieci kilku organizacji i firm w tym kraju w celu przejęcia ich danych.
Check Point wyróżnia się na Twoim tle Badania że osoba atakująca stojąca za tym oprogramowaniem ransomware mogła uzyskać dostęp do sieci ofiar w pewnym momencie przed wykonaniem ataku, ale że Pay2Key ma również ważną i niepokojącą cechę, a mianowicie zdolność „wykonaj szybki ruch, aby rozprzestrzenić oprogramowanie ransomware w ciągu godziny na całą sieć”. Ze swojej strony badacze Check Point zwracają uwagę, że po przeprowadzeniu ataku i zakończeniu infekcji całej sieci ofiary otrzymywały od napastników wiadomość wskazującą, że muszą zapłacić nagrodę, aby odzyskać dostęp i kontrolę nad swoimi zaszyfrowanymi danymi informacji, a zdaniem badaczy kwota żądanej nagrody jest stosunkowo niska; od około 7 do 9 bitcoinów (BTC), co odpowiada odpowiednio około 112.000 144.000 USD i XNUMX XNUMX USD, w oparciu o aktualną cenę kryptowaluty w momencie publikacji.
Może Cię zainteresować: Krytyczny błąd uderza w multisig Bitcoin SV
Na kogo wpływa to oprogramowanie ransomware?
Atak ten jest wymierzony w systemy operacyjne Windows i według badaczy początkowa infekcja sieci odbywa się prawdopodobnie poprzez połączenie RDP (Remote Desktop Protocol lub Remote Desktop Protocol), który umożliwia komunikację pomiędzy serwerem a terminalem w celu uruchomienia aplikacji lub oprogramowania. Podobnie badacze wyszczególniają, że mamy do czynienia z jednym z najsolidniejszych programów ransomware na rynku, ponieważ Pay2Key wykorzystuje do szyfrowania algorytmy AES i RSA.
Źródło: Badania Check Point
Pochodzenie Pay2Key
Najwyraźniej badacze Check Point nie byli w stanie powiązać tego ransomware z innym złośliwym oprogramowaniem z tej rodziny znanym na rynku, więc przypuszczają, że jest to ransomware opracowany od podstaw. Zespół badaczy zauważył również, że tożsamość atakującego jest nadal nieznana, chociaż kilka śladów wykrytych w kodzie sugeruje, że nie jest on „native speakerem języka angielskiego”. Check Point podkreśla, że w kodzie i pliku dziennika znajduje się wiele literówek, w tym kilka niespójności, które wskazują, że dana osoba może nie pochodzić z krajów anglojęzycznych.
„Analizując działanie oprogramowania ransomware Pay2Key, nie byliśmy w stanie powiązać go z żadną inną istniejącą odmianą oprogramowania ransomware i wydaje się, że zostało ono opracowane od podstaw”.
Po raz pierwszy wykrycie tego ransomware miało miejsce 26 października, kiedy zarejestrowano jego skompilowaną „pierwszą próbkę”. Z drugiej strony, pierwszy atak odnotowany przy użyciu tego oprogramowania ransomware miał miejsce około tydzień po jego pojawieniu się, 1 listopada, kiedy izraelska firma zgłosiła incydent.
To ransomware jest napisane w języku C++, dominującym języku w kodzie Bitcoin, Bitcoin Core; Co więcej, Pay2Key jest skompilowany z MSVC++ 2015, co ułatwia kierowanie ataków na określone cele – podają badacze.
Ransomware, które jest trudne do wykrycia
Check Point ujawnia, że na razie tylko usługa skanowania antywirusowego VirusTotal, stworzony przez hiszpańską firmę Hispasec Sistemas, był w stanie wykryć oprogramowanie ransomware, mimo że nie korzystało z „pakera” ani żadnego rodzaju zabezpieczeń, aby ukryć swoje wewnętrzne, szkodliwe funkcje. W tym sensie wydaje się, że innym programom antywirusowym dostępnym na rynku trudno jest wykryć ten problem i że użytkownicy systemów operacyjnych Windows powinni kierować się zdrowym rozsądkiem, próbując chronić się przed nowym zagrożeniem. Pokazuje również, że w czasie analizowania oprogramowania ransomware zauważyli kilka ulepszeń w kodzie, co pokazuje, że twórcy tego złośliwego oprogramowania aktywnie nad nim pracują i dodają nowe funkcje w celu ulepszenia ataków.
„W najnowszej wersji ransomware zauważyliśmy, że napastnicy dodali mechanizm autodestrukcji, a także nowy argument wiersza poleceń – noreboot. Nowy mechanizm „oczyszczania” odpowiada za usunięcie plików utworzonych przez atakującego i ponowne uruchomienie komputera.”
Jako ciekawostkę Check Point zwraca uwagę, że konto KeyBase, utworzone pod nazwą „Pay2Key”, widnieje to samo logo inteligentna umowa Pay2Key EOSIO, najwyraźniej dlatego, że podczas wyszukiwania hasła „Pay2Key” w Grafice Google logo inteligentnej umowy jest jednym z pierwszych widocznych wyników.
Ryzyko podwójnego wymuszenia Pay2Key
Oprócz porywania i szyfrowania danych i informacji ofiar oraz żądania zapłaty okupu, napastnicy wdrażają nową technikę, coraz powszechniejszą w obszarze cyberataków, aby wywrzeć większą presję na swoje ofiary i zmusić je do zapłacenia żądanego okupu w jak najkrótszym czasie. możliwy czas.
„Podwójne wymuszenie to taktyka, która wywiera dodatkową presję na ofiary, aby zapłaciły okup, pod groźbą wycieku skradzionych danych firmowych z sieci internetowych ofiar”.
W ten sposób Pay2Key podąża za trendem grożenia swoim ofiarom publikacją porwanych informacji w przypadku, gdy ofiary odmówią zapłacenia okupu lub zgodnie z treścią wiadomości atakującego; uwolnienie „ważna informacja… na wypadek, gdybyśmy nie mogli zawrzeć dobrego interesu!”. Badacze z Check Point twierdzą, że napastnicy najwyraźniej zamierzają sprostać tym zagrożeniom, tworząc nową witrynę internetową o nazwie Onion, której celem jest udostępnianie wyciekających danych od ofiar Pay2Key, które nie zapłacą nagrody.
Źródło: Badania Check Point
Do tej pory w serwisie opublikowano dane dotyczące 3 izraelskich firm będących ofiarami tego ataku i choć atak jest skierowany głównie przeciwko organizacjom i firmom w tym kraju, informe de swascan rejestruje nową ofiarę w Europie.
Monitorowanie akcji ratowniczych
Najwyraźniej około 4 firmy zaatakowane tym oprogramowaniem ransomware zapłaciły okup, co umożliwiło zespołowi badaczy śledzenie miejsca przeznaczenia płatności dokonywanych w BTC. Jak dobrze wiemy, Bitcoin jest siecią zdecentralizowaną i typu open source, więc płatności i transakcje dokonywane są w jej ramach blockchain Można je śledzić od miejsca pochodzenia do miejsca przeznaczenia.
Tym samym Check Point wskazuje, że analizując transakcje w BTC od momentu złożenia przez ofiarę wpłaty pod adresem przesłanym przez atakującego oraz całą podróż tych pieniędzy przez różne adresy „portfele pośredników”, udało im się wykryć, że adres „końcowego portfela” jest powiązany z firmą świadczącą usługi finansowe z kryptowalutami Excoino, która ma swoją siedzibę w Iranie. Według raportu firma ta wymaga od użytkownika posiadania ważnego irańskiego numeru telefonu i kodu identyfikacyjnego; Dodatkowo, aby móc działać na giełdzie, Exocoino wymaga również kopii dowodu osobistego, zatem właścicielami ostatecznych portfeli są obywatele Iranu, którzy prawdopodobnie stoją za atakiem na izraelskie firmy.
Zalecenia dotyczące bezpieczeństwa
Po pierwsze, badacze sugerują, abyś utrzymywał aktualne kopie zapasowe najważniejszych przechowywanych danych i informacji, dzięki czemu jeśli padniesz ofiarą tego oprogramowania ransomware, będziesz mieć dostęp do tych informacji. Podobnie zaleca się aktualizowanie wersji programów antywirusowych dla systemu Windows i innych aplikacji oraz pobieranie takich aktualizacji z oficjalnych witryn internetowych firm, a nie z łączy lub załączników w wiadomościach e-mail lub witryn reklamowanych za pomocą środków zewnętrznych.
Deweloperzy uważają również, że ważne jest, aby być na bieżąco z nowymi cyberatakami i zagrożeniami pojawiającymi się na rynku, aby użytkownicy, firmy i organizacje mogły uzyskać „świadomość sytuacyjną” dotyczącą istniejących zagrożeń, które zagrażają ich informacjom. A jeśli wykryjesz jakąkolwiek anomalię, sugeruje się natychmiastowe zgłoszenie jej dostawcy usług cyberbezpieczeństwa lub działowi bezpieczeństwa komputerowego odpowiedniej firmy lub organizacji.
Kontynuuj czytanie: Nowy APT: ESET odkrywa grupę XDSpy, która kradnie poufne dane od rządów europejskich
