Threat Database Ransomware Pay2Key Ransomware

Pay2Key Ransomware

Pay2Key Ransomware è una minaccia di criptovaluta personalizzata che è stata implementata in attacchi diretti esclusivamente ad aziende israeliane. Secondo i ricercatori di infosec, la minaccia è stata creata da zero dagli hacker e mostra una notevole attenzione ai dettagli rispetto al tipico comportamento del ransomware.

Il ransomware Pay2Key è molto probabilmente fornito tramite una connessione RDP (Remote Desktop Protocol) con misure di sicurezza deboli. Gli attacchi si verificano quasi sempre dopo la mezzanotte, quando presumibilmente c'è meno personale negli uffici, quindi ci vorrà più tempo per una reazione se viene rilevato l'attacco malware. Dopo aver compromesso il computer iniziale, Pay2Key Ransomware inizia a diffondersi lateralmente attraverso la rete interna della vittima utilizzando psexec.exe. Con un numero potenzialmente considerevole di macchine infette, il traffico generato da esse sarebbe troppo difficile da mascherare se ciascuna comunicasse individualmente con l'infrastruttura Command-and-Control (C&C, C2). Invece, gli attacchi configurano il primo computer infetto come un punto pivot / proxy sebbene molto probabilmente un programma chiamato ConnectPC.exe. Quindi funge da intermediario tra gli altri sistemi compromessi e i server C&C.

Il ransomware Pay2Key è ancora in fase di sviluppo

I file principali della minaccia sono un eseguibile che trasporta il ransomware denominato Cobalt.Client.exe e un file di configurazione che contiene i parametri specifici per "Server" e "Porta". Gli aggressori rilasciano anche l'applicazione ConnectPC utilizzata per creare il server Pivot/Proxy. Dopo la configurazione iniziale, Pay2Key attenderà l'invio di ulteriori comandi da parte degli aggressori. La funzionalità della minaccia è estremamente flessibile, poiché la ricezione di un messaggio può determinare l'elenco esatto dei tipi di file da crittografare, il nome del file che trasporta la richiesta di riscatto, il contenuto della richiesta di riscatto stessa e persino l'estensione aggiunta al file crittografati. Nella maggior parte dei casi, l'estensione era ".pay2key" mentre il nome del file di riscatto è stato modificato per includere il nome dell'organizzazione infetta con il modello [ORGANIZATION] _MESSAGE.TXT. La richiesta di riscatto può contenere un'arte ASCII appositamente creata del nome delle vittime. La somma richiesta dagli hacker varia tra 7 e 9 bitcoin, che, ai tassi di cambio attuali, equivale a un range compreso tra $ 170.000 e $ 220.000.

Per il suo processo di crittografia, Pay2Key utilizza una combinazione di AES e RSA. Se non è presente una connessione Internet o i server C&C sono inattivi, la crittografia dei file non verrà avviata poiché la minaccia deve ricevere una chiave pubblica RSA in fase di esecuzione dai server.

Dopo aver analizzato solo un paio di versioni di Pay2Key, diventa evidente che gli hacker stanno aggiungendo più funzionalità attivamente. Ad esempio, le versioni più recenti sono dotate di un meccanismo di pulizia che vede la minaccia eliminare i propri file e quindi riavviare il computer compromesso.

Gli hacker dietro Pay2Key sembrano concentrarsi su obiettivi israeliani per ora, ma la raffinatezza dei loro strumenti malware e la catena di attacchi delle campagne mostra che hanno le capacità per espandere rapidamente le loro operazioni a livello globale.

Pay2Key Ransomware screenshot

Tendenza

I più visti

Caricamento in corso...