Pay2Key Ransomware
De Pay2Key Ransomware is een op maat gemaakte crypto locker-dreiging die is ingezet bij aanvallen die uitsluitend gericht zijn op bedrijven uit Israël. Volgens de infosec-onderzoekers is de dreiging helemaal opnieuw opgebouwd door de hackers, en vertoont het veel aandacht voor detail in vergelijking met het typische ransomware-gedrag.
De Pay2Key Ransomware wordt hoogstwaarschijnlijk geleverd via een Remote Desktop Protocol (RDP) -verbinding met zwakke beveiligingsmaatregelen. De aanvallen vinden vrijwel altijd plaats na middernacht wanneer er zogenaamd minder personeel op de kantoren aanwezig is, waardoor het meer tijd zal kosten voor een reactie als de malwareaanval wordt gedetecteerd. Na het compromitteren van de oorspronkelijke computer, begint de Pay2Key Ransomware zich lateraal te verspreiden via het interne netwerk van het slachtoffer met psexec.exe. Met een potentieel aanzienlijk aantal geïnfecteerde machines zou het verkeer dat erdoor wordt gegenereerd te moeilijk te maskeren zijn als elk afzonderlijk zou communiceren met de Command-and-Control-infrastructuur (C&C, C2). In plaats daarvan zetten de aanvallen de eerste geïnfecteerde computer op als een draaipunt / proxy-punt, hoewel hoogstwaarschijnlijk een programma genaamd ConnectPC.exe. Het fungeert dan als tussenpersoon tussen de andere gecompromitteerde systemen en de C&C-servers.
De Pay2Key Ransomware is nog in ontwikkeling
De belangrijkste bestanden van de dreiging zijn een uitvoerbaar bestand met de ransomware genaamd Cobalt.Client.exe en een configuratiebestand dat de specifieke parameters voor de 'Server' en 'Poort' bevat. De aanvallers laten ook de ConnectPC-applicatie vallen die is gebruikt om de Pivot / Proxy-server te maken. Na de eerste installatie wacht Pay2Key op aanvullende opdrachten die door de aanvallers worden verzonden. De functionaliteit van de dreiging is uiterst flexibel, aangezien het ontvangen van een bericht de exacte lijst van te versleutelen bestandstypen kan bepalen, de naam van het bestand met het losgeldbriefje, de inhoud van het losgeldbriefje zelf, en zelfs de extensie die aan het versleutelde bestanden. In de meeste gevallen was de extensie '.pay2key' terwijl de naam van het losgeldbestand werd gewijzigd om de naam van de geïnfecteerde organisatie op te nemen met als sjabloon [ORGANIZATION] _MESSAGE.TXT. De losgeldbrief kan een speciaal gemaakte ASCII-art van de naam van de slachtoffers bevatten. Het door de hackers gevraagde bedrag varieert tussen 7 en 9 bitcoins, wat bij de huidige wisselkoersen gelijk is aan een bereik tussen $ 170.000 en $ 220.000.
Pay2Key gebruikt voor het coderingsproces een combinatie van AES en RSA. Als er geen internetverbinding is of als de C&C-servers zijn uitgeschakeld, wordt de codering van de bestanden niet gestart omdat de dreiging tijdens runtime een openbare RSA-sleutel van de servers moet ontvangen.
Na analyse van slechts een paar versies van Pay2Key, wordt het duidelijk dat de hackers er actief meer functies aan toevoegen. Nieuwere versies zijn bijvoorbeeld uitgerust met een opschoningsmechanisme dat ervoor zorgt dat de bedreiging zijn eigen bestanden verwijdert en vervolgens de besmette computer herstart.
De hackers achter Pay2Key lijken voorlopig gefocust op Israëlische doelen, maar de verfijning van hun malwaretools en de aanvalsketen van de campagnes laat zien dat ze de mogelijkheden hebben om hun activiteiten snel wereldwijd uit te breiden.
Pay2Key Ransomware schermafbeeldingen
