Threat Database Ransomware Pay2Key Ransomware

Pay2Key Ransomware

Pay2Key Ransomware est une menace de crypto-locker personnalisée qui a été déployée dans des attaques ciblant exclusivement des entreprises d'Israël. Selon les chercheurs d'Infosec, la menace a été entièrement construite à partir de zéro par les pirates informatiques, et elle montre une attention considérable aux détails par rapport au comportement typique des ransomwares.

Le Pay2Key Ransomware est très probablement fourni via une connexion RDP (Remote Desktop Protocol) avec des mesures de sécurité faibles. Les attaques se produisent presque toujours après minuit quand il y a supposément moins de personnel dans les bureaux, il faudra donc plus de temps pour réagir si l'attaque du malware est détectée. Après avoir compromis l'ordinateur initial, le Pay2Key Ransomware commence à se propager latéralement à travers le réseau interne de la victime à l'aide de psexec.exe. Avec un nombre potentiellement important de machines infectées, le trafic généré par celles-ci serait trop difficile à masquer si chacune communiquait individuellement avec l'infrastructure de commande et de contrôle (C&C, C2). Au lieu de cela, les attaques ont configuré le premier ordinateur infecté en tant que point pivot / proxy, bien que très probablement un programme appelé ConnectPC.exe. Il agit alors comme intermédiaire entre les autres systèmes compromis et les serveurs C&C.

Le ransomware Pay2Key est toujours en cours de développement

Les principaux fichiers de la menace sont un exécutable qui contient le ransomware appelé Cobalt.Client.exe et un fichier de configuration contenant les paramètres spécifiques pour le «serveur» et le «port». Les attaquants abandonnent également l'application ConnectPC utilisée pour créer le serveur Pivot / Proxy. Après la configuration initiale, Pay2Key attendra que des commandes supplémentaires soient envoyées par les attaquants. La fonctionnalité de la menace est extrêmement flexible, car la réception d'un message peut déterminer la liste exacte des types de fichiers à chiffrer, le nom du fichier contenant la note de rançon, le contenu de la note de rançon elle-même, et même l'extension ajoutée au fichiers cryptés. Dans la plupart des cas, l'extension était «.pay2key», tandis que le nom du fichier de rançon était modifié pour inclure le nom de l'organisation infectée, le modèle étant [ORGANISATION] _MESSAGE.TXT. La note de rançon peut contenir un art ASCII spécialement créé du nom des victimes. La somme exigée par les hackers varie entre 7 et 9 bitcoins, ce qui, aux taux de change actuels, équivaut à une fourchette comprise entre 170 000 $ et 220 000 $.

Pour son processus de cryptage, Pay2Key utilise une combinaison d'AES et de RSA. S'il n'y a pas de connexion Internet ou si les serveurs C&C sont en panne, le chiffrement des fichiers ne sera pas lancé car la menace doit recevoir une clé publique RSA au moment de l'exécution des serveurs.

Après avoir analysé seulement quelques versions de Pay2Key, il devient évident que les pirates lui ajoutent activement plus de fonctionnalités. Par exemple, les versions plus récentes sont équipées d'un mécanisme de nettoyage qui voit la menace supprimer ses propres fichiers, puis redémarrer l'ordinateur compromis.

Les pirates derrière Pay2Key semblent se concentrer sur les cibles israéliennes pour le moment, mais la sophistication de leurs outils malveillants et la chaîne d'attaque des campagnes montre qu'ils ont les capacités d'étendre rapidement leurs opérations au niveau mondial.

Pay2Key Ransomware captures d'écran

Tendance

Le plus regardé

Chargement...