Новый вымогатель Pay2Key шифрует сети в течение одного часа

large-key.jpg
Новая программа-вымогатель под названием Pay2Key нацелена на организации из Израиля и Бразилии, зашифровывая их сети в течение часа в целевых атаках, которые все еще расследуются.
Майкл Гиллеспи , создатель ID Ransomware , также видел сообщения от жертв Pay2Key, преимущественно с бразильских IP-адресов.
Хотя эта программа-вымогатель использовалась в атаках против нескольких бразильских организаций, она не связана со вчерашними атаками RansomExx, нацеленными на правительственные сети Бразилии.

Шифрует сети за один час​

В новом отчете Check Point исследователи говорят, что злоумышленники, стоящие за вымогателем Pay2Key, скорее всего, используют публично открытый протокол удаленного рабочего стола (RDP) для получения доступа к сетям жертв и развертывания исходных вредоносных нагрузок.
Хотя операторы Pay2Key проникают в целевые сети и действуют в них до того, как программа-вымогатель начинает шифрование систем, у них есть «возможность быстро распространить программу-вымогатель в течение часа по всей сети».
Оказавшись в сети жертвы, злоумышленники установят сводное устройство, которое будет использоваться в качестве прокси для всех исходящих сообщений между компьютерами, зараженными вымогателем, и серверами управления и контроля (C2) Pay2Key.
Это помогает им избежать или, по крайней мере, снизить риск обнаружения перед шифрованием всех доступных систем в сети с помощью одного устройства для связи со своей собственной инфраструктурой.

Выкуп до 140 тысяч долларов​

Как и в случае с другими операциями с программами-вымогателями, управляемыми человеком, субъекты Pay2Key будут использовать легитимный портативный инструмент Microsoft PsExec для удаленного выполнения полезных нагрузок программы-вымогателя под названием Cobalt.Client.exe на сетевых устройствах целевых организаций.
После успешного шифрования устройства программа-вымогатель отправит в систему записку о выкупе, настроенную для каждой взломанной организации и использующую имя [ORGANIZATION] _MESSAGE.TXT.
В записке о выкупе также упоминается, что некоторые файлы жертв были украдены во время атак, но Check Point еще не нашла доказательств того, что это произошло.
Операторы Pay2Key в настоящее время просят относительно низкие выкуп, при этом Check Point видит, что они требуют от 7 до 9 биткойнов (примерно 110-140 тысяч долларов) за жертву. BleepingComputer требует выкупа всего в 4 биткойна (около 62 тысяч долларов).
pay2key-ransom-note.jpg

Pay2Key записка о выкупе
Эта программа-вымогатель не основана на коде из ранее обнаруженных штаммов, и образцы Pay2Key были обнаружены только одним ядром защиты от вредоносных программ при отправке в VirusTotal.
Судя по артефактам компиляции, похоже, что Pay2Key внутренне называется Cobalt разработчиками, для которых английский язык не является родным, согласно строкам и формулировкам журнала.

Программа-вымогатель использует гибрид симметричной и асимметричной схемы шифрования, в которой используются алгоритмы AES и RSA, при этом сервер C2 является тем, который доставляет открытый ключ RSA во время выполнения, что указывает на то, что Pay2Key не сможет зашифровать машины без подключения к Интернету или если сервер C2 сервер не в сети.

«Хотя атака все еще расследуется, недавние атаки программ-вымогателей Pay2Key указывают на то, что к тенденции целевых атак программ-вымогателей присоединяется новый злоумышленник, представляющий хорошо продуманную операцию для максимального увеличения ущерба и минимизации уязвимости», - заключили исследователи Check Point .

Перевод с английского - Google

Bleeping Computer
 
Назад
Сверху Снизу