Novo ransomware Pay2Key criptografa redes corporativas em apenas uma hora

New ransomware Pay2Key

Várias empresas e grandes corporações em Israel foram alvo de ataques cibernéticos usando um novo ransomware chamado Pay2Key.

Os primeiros ataques foram registrados por especialistas da Check Point no final de outubro deste ano, e agora seu número aumentou.

Durante a semana passada, um número excepcional de empresas israelenses relatou ataques de ransomware. Embora alguns dos ataques tenham sido realizados por vertentes de ransomware conhecidas, como REvil e Ryuk, várias grandes corporações experimentaram um ataque completo com uma variante de ransomware anteriormente desconhecida chamada Pay2Key.disseram os especialistas da Check Point.

De acordo com os especialistas, os criminosos costumam realizar ataques depois da meia-noite, quando as empresas têm menos trabalhadores de TI. O malware Pay2Key supostamente se infiltra na rede de organizações através de uma rede fracamente segura RDP (Remote Desktop Protocol) conexão. Os invasores obtêm acesso às redes corporativas “algum tempo antes do ataque,”E o malware pode criptografar a rede da vítima em uma hora.

Tendo penetrado na rede local, os hackers instalam um servidor proxy em um dos dispositivos para garantir que todas as cópias do malware estejam conectadas ao C&Servidor C. A carga útil (Cobalt.Client.exe) é iniciado remotamente usando o utilitário PsExec legítimo.

Vários artefatos de compilação indicam que o ransomware tem outro nome – Cobalto (não deve ser confundido com Cobalt Strike).

Embora a identidade dos atacantes permaneça desconhecida, a linguagem nas várias linhas de código escritas em inglês ruim sugere que o invasor não é um falante nativo de inglês.

Analisando a operação do ransomware Pay2Key, não conseguimos correlacioná-lo com qualquer outra cepa de ransomware existente, e parece ter sido desenvolvido do zero. Apenas um único mecanismo no VirusTotal detectou as amostras de ransomware enviadas como maliciosas, mesmo que o ransomware não use um Packer ou proteção de qualquer tipo para ocultar sua funcionalidade interna.dizem os pesquisadores.

O novo ransomware é escrito em C++ e não tem análogos no mercado darknet. Ele criptografa arquivos com a chave AES, e usa chaves RSA para se comunicar com o C&Servidor C. Do mesmo jeito, Pay2Key recebe um arquivo de configuração com uma lista de extensões para criptografia, um modelo para uma mensagem de resgate, etc..

Assim que a criptografia for concluída, notas de resgate permanecem em sistemas comprometidos. O agrupamento Pay2Key geralmente exige um resgate de 7 para 9 bitcoins (aproximadamente $110 para $ 140 mil). Os criminosos’ esquema de criptografia parece sólido (usando algoritmos AES e RSA) e infelizmente os especialistas ainda não conseguiram desenvolver uma versão gratuita do descriptografador para as vítimas.

Deixe-me lembrá-lo que recentemente O ransomware Ragnar Locker atacou o fabricante italiano de bebidas Gruppo Campari, e este é apenas um dos mais “delicioso” novidades nos últimos anos.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *