Una nuova minaccia si è aggiunta alla famiglia dei ransomware e si chiama Pay2Key: questo ransomware ha preso di mira organizzazioni provenienti da Israele e Brasile, crittografando le loro reti in un’ora con attacchi mirati ancora oggetto di indagine.
I primi attacchi sono stati visti alla fine di ottobre, ma ora sono aumentati di numero pur rimanendo contenuti in Israele
Crittografa le reti entro un’ora di tempo
In un nuovo rapporto di Check Point, gli attacchi si sono verificati dopo la mezzanotte, quando le aziende hanno meno dipendenti IT al lavoro, probabilmente utilizzando il protocollo RDP (Remote Desktop Protocol) esposto pubblicamente per ottenere l’accesso alle reti delle vittime e distribuire i payload dannosi iniziali.
Per evitare che le loro attività vengano rilevate, gli operatori Pay2Key di solito impostano un punto di rotazione sulla rete locale, attraverso il quale trasmettono tutte le loro comunicazioni per ridurre il loro impatto di rete rilevabile. Mentre gli operatori Pay2Key si infiltrano e sono attivi nelle reti mirate prima che il ransomware inizi a crittografare i sistemi, hanno la “capacità di effettuare una rapida mossa di diffusione del ransomware entro un’ora all’intera rete”.
Una volta all’interno della rete di una vittima, gli aggressori configureranno un dispositivo pivot che verrà utilizzato come proxy per tutte le comunicazioni in uscita tra i computer infetti da ransomware e i server di comando e controllo (C2) di Pay2Key. Questo li aiuta a eludere o almeno a ridurre il rischio di rilevamento prima di crittografare tutti i sistemi raggiungibili sulla rete utilizzando un singolo dispositivo per comunicare con la propria infrastruttura.
Riscatta fino a $ 140.000
Proprio come nel caso di altre operazioni di ransomware gestite da persone, gli attori Pay2Key utilizzeranno lo strumento portatile legittimo PsExec di Microsoft per eseguire in remoto i payload di ransomware denominati Cobalt.Client.exe sui dispositivi di rete delle organizzazioni mirate. Dopo la corretta crittografia di un dispositivo, il ransomware rilascia una richiesta di riscatto sul sistema, personalizzata per ciascuna organizzazione compromessa e utilizzando un nome [ORGANIZATION] _MESSAGE.TXT. La richiesta di riscatto menziona anche che alcuni dei file delle vittime sono stati rubati durante gli attacchi, ma Check Point deve ancora trovare le prove di ciò. Gli operatori Pay2Key stanno attualmente chiedendo riscatti relativamente bassi, tra 7 e 9 bitcoin (circa $ 110.000- $ 140.000) per vittima.
Congratulazioni! La vostra intera rete e tutte le vostre informazioni come computer, dati sui dipendenti, cartelle degli utenti, server, file, applicazioni, database ecc. nel network sono stati cifrati con successo! Alcune delle vostre importanti informazioni sono state scaricate e sono pronte per essere rilasciate nel caso non vogliate accettare un buon accordo!
Questo ransomware non si basa sul codice di ceppi rilevati in precedenza e i campioni Pay2Key sono stati rilevati solo da un singolo motore antimalware quando inviati a VirusTotal.
I dati vengono cifrati con algoritmi AES e RSA e al momento non sono disponibili strumenti utili per ristabilire l’accesso ai contenuti senza cedere all’estorsione. Stando alle analisi fin qui condotte pare che il codice del ransomware sia stato scritto da zero (chiamato con il nome in codice Cobalt dagli sviluppatori che non sono madrelingua inglese in base alle stringhe e al testo del registro), senza basarsi su quello di altri già in circolazione o documentati.
Sebbene l’attacco sia ancora oggetto di indagine, i recenti attacchi ransomware Pay2Key indicano che un nuovo attore di minacce si sta unendo alla tendenza degli attacchi ransomware mirati, presentando un funzionamento ben progettato per massimizzare i danni e ridurre al minimo l’esposizione.
Comments