Ransomware Pay2Key może okazać się nową zmorą europejskich firm – twierdzą badacze firmy Check Point. Zupełnie nowy szczep oprogramowania szyfrującego, który zaatakował niedawno izraelskie i europejskie firmy, łączony jest z jak na razie z irańskimi cyberprzestępcami.
W zeszłym tygodniu badacze Check Point wydali ostrzeżenie dotyczące nowego, nigdy wcześniej nierozpoznanego szczepu ransomware, który szyfruje komputery ofiar w mniej niż godzinę. Bieżące dochodzenie Check Pointa wykazało, że gracze stojący za Pay2Key celowali głównie w firmy izraelskie, jednak nowe dowody sugerują, że hakerzy skierowali również działania przeciwko firmom europejskim.
Jak dotąd cztery ofiary Pay2Key zdecydowały się zapłacić okup, dając badaczom Check Pointa możliwość śledzenia przekazanych pieniędzy. We współpracy z Whitestream, firmą zajmującą się analizą blockchain, badacze z Check Point prześledzili sekwencje transakcji Bitcoin do irańskiej giełdy wymiany kryptowalut o nazwie Excoino. Przepływ zaczyna się od portfeli znalezionych w notatkach ransomware, przechodząc do portfela pośredniego, a następnie ostatecznie do portfela końcowego powiązanego z Excoino.
Przestępcy stojący za Pay2Key wykorzystują taktykę zwaną Double Extortion, niedawną ewolucję typowych ataków ransomware. W modelu podwójnego wymuszenia osoby atakujące oprogramowaniem ransomware nie tylko szyfrują dane i żądają okupu za odzyskanie dostępu, ale także grożą opublikowaniem wszelkich eksfiltrowanych danych w Internecie, jeśli ich warunki nie zostaną spełnione.
Po zakończeniu szyfrowania w zhakowanych systemach pozostają notki z żądaniami okupu w wysokości od 7 do 9 bitcoinów (~ 110 000 – 140 000 $). Jak dotąd ofiarami podwójnego wymuszenia z wykorzystaniem Pay2Key jest siedem izraelskich firm oraz prawdopodobnie jedna włoska. Badacze z Check Point spodziewają się szybkiego wzrostu liczby ofiar poza Izraelem.