Pay2Key Ransomware
Pay2Key Ransomware er en specialbygget kryptolåsetrussel, der udelukkende er blevet anvendt i angreb rettet mod virksomheder fra Israel. Ifølge forskerne i infosec blev truslen bygget helt fra bunden af hackerne, og den viser stor opmærksomhed for detaljer sammenlignet med den typiske ransomware-opførsel.
Pay2Key Ransomware leveres sandsynligvis via en RDP-forbindelse (Remote Desktop Protocol) med svage sikkerhedsforanstaltninger. Angrebene sker næsten altid efter midnat, når der angiveligt er mindre personale på kontorerne, så det vil tage mere tid at reagere, hvis malwareangrebet opdages. Efter at have kompromitteret den oprindelige computer begynder Pay2Key Ransomware at sprede sig lateralt gennem offerets interne netværk ved hjælp af psexec.exe. Med et potentielt betydeligt antal inficerede maskiner ville den trafik, der genereres af dem, være for svær at maskere, hvis hver enkelt kommunikerede med Command-and-Control (C&C, C2) -infrastrukturen individuelt. I stedet oprettede angrebene den første inficerede computer som et pivot / proxy-punkt, men sandsynligvis et program kaldet ConnectPC.exe. Det fungerer derefter som et mellemled mellem de andre kompromitterede systemer og C & C-serverne.
Pay2Key Ransomware er stadig under udvikling
De vigtigste filer af truslen er en eksekverbar fil, der bærer ransomware kaldet Cobalt.Client.exe og en konfigurationsfil, der indeholder de specifikke parametre for 'Server' og 'Port.' Angriberne slipper også ConnectPC-applikationen, der bruges til at oprette Pivot / Proxy-serveren. Efter den første opsætning venter Pay2Key på, at yderligere kommandoer sendes af angriberne. Trusselens funktionalitet er ekstremt fleksibel, da modtagelse af en besked kan bestemme den nøjagtige liste over filtyper, der skal krypteres, navnet på den fil, der bærer løsesumnoten, indholdet af selve løsesedlen og endda udvidelsen, der er knyttet til krypterede filer. I de fleste tilfælde var udvidelsen '.pay2key', mens løsepenge-filen blev ændret til at omfatte navnet på den inficerede organisation, hvor den skabelonede var [ORGANIZATION] _MESSAGE.TXT. Løsepenge noten kan indeholde en specielt oprettet ASCII-kunst af ofrenes navn. Det krævede beløb fra hackerne varierer mellem 7 og 9 bitcoins, hvilket ved de nuværende valutakurser svarer til et interval mellem $ 170.000 og $ 220.000.
Til sin krypteringsproces bruger Pay2Key en kombination af AES og RSA. Hvis der ikke er nogen internetforbindelse, eller C & C-serverne er nede, startes kryptering af filerne ikke, da truslen skal modtage en offentlig RSA-nøgle ved kørsel fra serverne.
Efter at have analyseret kun et par versioner af Pay2Key, bliver det tydeligt, at hackerne tilføjer flere funktioner til det aktivt. For eksempel er nyere versioner udstyret med en rengøringsmekanisme, der ser truslen slette sine egne filer og derefter genstarte den kompromitterede computer.
Hackerne bag Pay2Key ser ud til at være fokuseret på israelske mål for nu, men sofistikeret af deres malware-værktøjer og kampagnernes angrebskæde viser, at de har kapaciteterne til hurtigt at udvide deres operationer på globalt plan.
Pay2Key Ransomware Skærmbilleder
