Pesquisadores de segurança cibernética descobriram uma nova ameaça na rede: um ransomware chamado Pay2Key que aplica uma nova metodologia de ataque para extorquir e fraudar suas vítimas em menos de 1 hora.
O perigo potencial representado por esta nova ransomware atualmente é devido à sua velocidade para executar um ataque. Pay2Key foi projetado para sequestrar e criptografar os dados da vítima em menos de 1 hora e depois exigir um resgate em criptomoedas. Como explica a divisão de inteligência sobre ameaças cibernéticas, Check Point Research, este ransomware até então desconhecido tem direcionado ataques contra empresas israelenses desde o início de novembro, obtendo acesso às redes de diversas organizações e empresas deste país para sequestrar seus dados.
Check Point se destaca em seu pesquisa que o invasor por trás deste ransomware pode ter obtido acesso às redes das vítimas em algum momento antes de executar o ataque, mas que o Pay2Key também apresenta uma qualidade importante e perturbadora que é a capacidade “faça um movimento rápido para espalhar o ransomware em uma hora para toda a rede”. Por sua vez, os investigadores da Check Point salientam que após executar o ataque e completar a infecção de toda a rede, as vítimas receberam uma mensagem dos atacantes indicando que tinham de pagar uma recompensa para recuperar o acesso e controlo dos seus dados e encriptados. informações e, na opinião dos pesquisadores, o valor solicitado como recompensa é relativamente baixo; entre cerca de 7 a 9 bitcoins (de preço mínimo em), equivalente a cerca de US$ 112.000 e US$ 144.000, respectivamente, com base no preço atual da criptomoeda até o momento.
Você pode estar interessado: Bug crítico atinge multisigs Bitcoin SV
Quem é afetado por este ransomware?
Este ataque é direcionado aos sistemas operacionais Windows e segundo os pesquisadores, a infecção inicial da rede é provavelmente realizada através de uma conexão RDP (Remote Desktop Protocol ou Remote Desktop Protocol), que permite a comunicação entre um servidor e um terminal para a execução de uma aplicação ou software. Da mesma forma, os pesquisadores detalham que estamos diante de um dos ransomwares mais sólidos do mercado, já que Pay2Key utiliza os algoritmos AES e RSA para criptografia.
Fonte: Pesquisa Check Point
Origem do Pay2Key
Aparentemente, os investigadores da Check Point não conseguiram relacionar este ransomware com outros softwares maliciosos desta família conhecidos no mercado, pelo que presumem que se trata de um ransomware desenvolvido de raiz. A equipe de pesquisadores também observou que a identidade do invasor ainda é desconhecida, embora vários vestígios detectados no código sugiram que ele não é um “falante nativo de inglês”. A Check Point destaca que há muitos erros de digitação no código e no arquivo de log, incluindo diversas inconsistências que mostram que a pessoa pode não ser de países de língua inglesa.
“Ao analisar a operação do ransomware Pay2Key, não conseguimos correlacioná-lo com qualquer outra variedade de ransomware existente e parece ter sido desenvolvido do zero.”
A primeira vez que este ransomware foi detectado foi em 26 de outubro, quando sua “primeira amostra” compilada foi registrada. Por outro lado, o primeiro ataque registado com este ransomware ocorreu cerca de uma semana após o seu aparecimento, a 1 de novembro, quando uma empresa israelita relatou o incidente.
Este ransomware foi escrito em linguagem C++, a linguagem dominante no código Bitcoin, Bitcoin Core; Além disso, o Pay2Key é compilado com o MSVC++ 2015, o que torna mais fácil direcionar seus ataques para alvos específicos, relatam os pesquisadores.
Ransomware difícil de detectar
Check Point revela que, por enquanto, apenas o serviço de verificação antivírus VirusTotal, criado pela empresa espanhola Hispasec Sistemas, conseguiu detectar o ransomware, embora não utilize um “Packer” ou proteção de qualquer tipo para ocultar sua funcionalidade interna maliciosa. Nesse sentido, parece difícil que outros antivírus do mercado detectem este problema e que os usuários dos sistemas operacionais Windows devam usar o bom senso para tentar se proteger contra a nova ameaça. Revela também que durante o tempo em que analisaram o ransomware notaram diversas melhorias no código, o que mostra que os criadores deste software malicioso estão trabalhando ativamente nele e adicionando novas funções para melhorar os ataques.
“Na versão mais recente do ransomware, notamos que os invasores adicionaram um mecanismo de autodestruição, bem como um novo argumento de linha de comando – noreboot. O novo mecanismo de “limpeza” é responsável por apagar os arquivos criados pelo invasor e reiniciar a máquina.”
Curiosamente, a Check Point destaca que a conta KeyBase, criada com o nome "Pay2Key", apresenta o mesmo logotipo do smart contract Pay2Key EOSIO, aparentemente porque ao pesquisar “Pay2Key” no Imagens do Google, o logotipo do contrato inteligente é um dos primeiros resultados visíveis.
Os riscos da dupla extorsão da Pay2Key
Além de sequestrar e criptografar dados e informações das vítimas e exigir o pagamento de resgate, os invasores estão implementando uma nova técnica, cada vez mais comum no campo dos ataques cibernéticos, para exercer maior pressão sobre suas vítimas e forçá-las a pagar o resgate solicitado no menor tempo possível. tempo possível.
“A dupla extorsão é uma tática que coloca pressão adicional sobre as vítimas para que paguem o resgate com a ameaça de vazamento de dados corporativos roubados das redes online das vítimas.”
Assim, a Pay2Key segue esta tendência de ameaçar suas vítimas com a publicação das informações sequestradas caso as vítimas se recusem a pagar o resgate ou conforme indicado na mensagem dos atacantes; liberar “informações importantes… caso não consigamos fazer um bom negócio!”. Os pesquisadores da Check Point dizem que os invasores parecem dispostos a seguir essas ameaças, tendo criado um novo site chamado Onion, destinado a compartilhar dados vazados de vítimas do Pay2Key que não pagam a recompensa.
Fonte: Pesquisa Check Point
Até à data, foram publicados no site dados de 3 empresas israelitas vítimas deste ataque e embora o ataque seja dirigido principalmente a organizações e empresas deste país, um denunciar de swascan regista uma nova vítima na Europa.
Acompanhamento de resgates
Aparentemente, cerca de 4 empresas atacadas com este ransomware efetuaram o pagamento do resgate, o que permitiu à equipe de pesquisadores acompanhar o destino dos pagamentos efetuados em BTC. Como bem sabemos, o Bitcoin é uma rede descentralizada e de código aberto, portanto os pagamentos e transações feitas dentro desta blockchain Eles podem ser rastreados desde a origem até o destino final.
Assim, a Check Point indica que, ao analisar as transações em BTC desde o momento em que as vítimas efetuam o depósito no endereço enviado pelo atacante e todo o percurso deste dinheiro através de vários endereços de «carteiras intermediários", conseguiram detectar que o endereço da "carteira final" está associado à empresa de serviços financeiros com criptomoedas Excoino, que mantém a sua sede no Irão. Segundo o relatório, esta empresa exige que o usuário tenha um número de telefone iraniano válido e um código de identificação; Além disso, para ser elegível para operar na bolsa, a Exocoino também exige uma cópia do documento de identidade, de modo que os proprietários das carteiras finais são cidadãos iranianos, que provavelmente estão por trás do ataque às empresas israelenses.
Recomendações de Segurança
Em primeiro lugar, os pesquisadores sugerem que você mantenha backups atualizados dos dados e informações armazenados mais importantes, para que, caso seja vítima deste ransomware, possa acessar as informações. Da mesma forma, é recomendável que as versões dos antivírus do Windows e demais aplicativos sejam mantidas atualizadas e que tais atualizações sejam baixadas dos sites oficiais das empresas e não de links ou anexos de e-mails ou de sites divulgados por meios externos.
Os desenvolvedores também consideram importante se manterem informados sobre novos ataques e ameaças cibernéticas que surgem no mercado para que usuários, empresas e organizações possam ter “consciência situacional” sobre os riscos existentes que comprometem suas informações. E se detectar alguma anomalia, sugere-se comunicá-la imediatamente ao prestador de serviços de segurança cibernética ou ao departamento de segurança informática da empresa ou organização correspondente.
Continue lendo: Novo APT: ESET descobre grupo XDSpy que rouba dados confidenciais de governos europeus
