Pay2Key Ransomware

O Pay2Key Ransomware é uma ameaça de bloqueio de dados customizada que foi implantada em ataques dirigidos exclusivamente a empresas de Israel. De acordo com os pesquisadores da infosec, a ameaça foi construída do zero pelos hackers e exibe considerável atenção aos detalhes quando comparada ao comportamento típico do ransomware.

O Pay2Key Ransomware é mais provavelmente entregue por meio de uma conexão Remote Desktop Protocol (RDP) com medidas de segurança fracas. Os ataques quase sempre acontecem depois da meia-noite, quando supostamente há menos funcionários nos escritórios, então levará mais tempo para uma reação se o ataque de malware for detectado. Depois de comprometer o computador inicial, o Pay2Key Ransomware começa a se espalhar lateralmente através da rede interna da vítima usando psexec.exe. Com um número potencialmente considerável de máquinas infectadas, o tráfego gerado por elas seria muito difícil de mascarar se cada uma se comunicasse com a infraestrutura de Comando e Controle (C&C, C2) individualmente. Em vez disso, os ataques configuram o primeiro computador infectado como um ponto de pivô / proxy, embora muito provavelmente um programa chamado ConnectPC.exe. Em seguida, ele atua como um intermediário entre os outros sistemas comprometidos e os servidores C&C.

O Pay2Key Ransomware Ainda está sendo Desenvolvido

Os principais arquivos da ameaça são um executável que carrega o ransomware chamado Cobalt.Client.exe e um arquivo de configuração que contém os parâmetros específicos para o 'Servidor' e a 'Porta'. Os invasores também descartam o aplicativo ConnectPC usado para criar o servidor Pivot/Proxy. Após a configuração inicial, Pay2Key irá aguardar que comandos adicionais sejam enviados pelos atacantes. A funcionalidade da ameaça é extremamente flexível, pois o recebimento de uma mensagem pode determinar a lista exata de tipos de arquivos a serem criptografados, o nome do arquivo que contém a nota de resgate, o conteúdo da própria nota de resgate e até mesmo a extensão anexada ao arquivos criptografados. Na maioria dos casos, a extensão era '.pay2key' enquanto o nome do arquivo de resgate foi modificado para incluir o nome da organização infectada com o modelo sendo [ORGANIZATION] _MESSAGE.TXT. A nota de resgate pode conter uma arte ASCII especialmente criada com o nome das vítimas. A soma exigida pelos hackers varia entre 7 e 9 bitcoins, o que, nas taxas de câmbio atuais, equivale a uma faixa entre US $170 mil e US $220 mil.

Para seu processo de criptografia, Pay2Key usa uma combinação de AES e RSA. Se não houver conexão com a Internet ou se os servidores C&C estiverem inativos, a criptografia dos arquivos não será iniciada, pois a ameaça precisa receber uma chave pública RSA em tempo de execução dos servidores.

Depois de analisar apenas algumas versões do Pay2Key, fica evidente que os hackers estão adicionando mais recursos a ele ativamente. Por exemplo, as versões mais recentes são equipadas com um mecanismo de limpeza que permite que a ameaça exclua seus próprios arquivos e reinicie o computador comprometido.

Os hackers por trás do Pay2Key parecem estar focados em alvos israelenses por enquanto, mas a sofisticação de suas ferramentas de malware e a cadeia de ataque das campanhas mostra que eles têm a capacidade de expandir suas operações em um nível global rapidamente.

Pay2Key Ransomware capturas de tela