Af Eskil Sørensen, 16/11/20
En hurtigtvoksende ny ransomware, der i løbet af de sidste to uger allerede har påvirket flere store virksomheder i Israel, og nogle få i Europa, kan snart udgøre en større trussel mod organisationer over hele verden. Det skriver Dark Reading på baggrund af en rapport fra israelske Check Point Software Technologies om den nye såkaldte Pay2Key ransomware, hvor det fremgår, at ”..den næsten helt sikkert er af iransk oprindelse” og er i stand til at kryptere et helt netværk på en time eller mindre.
Udviklerne af Pay2Key har hovedsagelig udnyttet eksponerede RDP tjenester (Remote Desktop Protocol) til at infiltrere offernetværker og derefter udvide deres tilstedeværelse. Det er muligt, at de også bruger andre vektorer.
Kræver bitoins i løsesum
Når der er adgang til et offernetværk, har angriberne oprettet det, som Check Point beskriver som en "pivot-enhed" eller proxy til al kommunikation mellem de inficerede systemer og Pay2Keys C2-servere. Taktikken ved at bruge en enkelt enhed til at kommunikere eksternt har hjulpet trusselsaktøren med at undgå afsløring inden kryptering. Gruppen bruger psexec dot exe værktøjet til at bevæge sig lateralt på et inficeret netværk og til at installere ransomware på forskellige systemer.
Ud over at kryptere netværket har Pay2Key angriberne også stjålet følsomme data fra offerorganisationerne og truet med at offentliggøre dette, hvis den krævede løsesum ikke betales. Pay2Key trusselsaktørerne kræver en "relativt beskeden" sum på 7-9 bitcoins fra ofrene eller mellem 113.000 og 145.500 dollars.
Dobbelt afpresning
Mindst fire ofre har betalt angriberne for at få deres data tilbage, og mindst tre andre, der nægtede at gøre det, har allerede fået deres data frigivet via et Tor webside, som angriberne har oprettet til formålet.
I begge tilfælde blev de lækkede data uploadet til en dedikeret mappe på websiden, ledsaget af en besked der gav detaljerede oplysninger om offerets netværk inklusive domæne, servere og backup. Et af ofrene beskrives som et advokatfirma og et andet som et spilfirma.
Det er ifølge Dark Reading uklart, om ofre, der betalte løsepengene, var i stand til at gendanne deres data.
Forbindelse til Iran
Checkpoint har ifølge Dark Reading kunnet spore transaktionen til en iransk kryptohandelsplatform ved at kigge nærmere på de bitcoin-tegnebøger, som løsesummen skulle overføres til. Platformen kaldes Excoino, er kun åben for iranske borgere, eftersom registrering kræver en nationalt udstedt ID kort.
Indtil videre har de fleste observerede angreb været rettet mod israelske virksomheder, selvom mindst en europæisk enhed også skulle være blevet påvirket.
Links:
https://www.darkreading.com/attacks-breaches/pay2key-could-become-next-b...