Stopa do Iránu

Útočníci, kteří stojí za novým sofistikovaným ransomwarem Pay2Key, požadují vysoké výkupné a hrozí zveřejněním ukradených informací. Žádají platbu ve výši 7 až 9 bitcoinů (přibližně 110 000 – 140 000 dolarů). Čtyři oběti nového ransomwaru Pay2Key už výkupné zaplatily a Check Point ve spolupráci s Whitestream tyto bitcoinové transakce analyzoval. Oběti poslaly výkupné do bitcoinových peněženek uvedených ve vyděračské zprávě. Finance byly následně přesunuté do další bitcoinové peněženky a nakonec do íránské kryptopeněženky Excoino.

Excoino je íránský subjekt, který poskytuje íránským občanům zabezpečené kryptoměnové transakce. Registrace vyžaduje platné íránské telefonní číslo a ID/Melli kód a pro transakce je nutná kopie ID. Na základě těchto indicií dospěl Check Point k závěru, že se velmi pravděpodobně jedná o kyberskupinu složenou z íránských občanů.

Obr. 1: Bitcoinové transakce mezi oběťmi a útočníky

Dvojité vydírání

Kyberzločinci stojící za ransomwarem Pay2Key využívají dvojité vydírání. Zašifrují data a za jejich zpřístupnění požadují výkupné, pokud nebudou splněny jejich podmínky. Současně hrozí zveřejněním ukradených informací na specializovaném webu.

Obr. 2: E-mail hrozící zveřejněním ukradených informací

Obr. 3: Stránka Pay2Key zaměřená na zveřejnění ukradených dat

Útočníci zatím do systémů pronikali pomocí slabě zabezpečené služby RDP (Remote Desktop Protocol). Jakmile se útočníci dostanou do sítě oběti, určí hlavní zařízení, které bude použito jako proxy pro veškerou odchozí komunikaci mezi počítači infikovanými ransomwarem a řídícími servery Pay2Key. Útočníci se tak vyhnou detekci, dokud nezašifrují všechny dostupné systémy v síti. Jakmile šifrování skončí, na hacknutých systémech se zobrazí zpráva se žádostí o zaplacení výkupného. Gang obvykle požaduje 7 až 9 bitcoinů (přibližně 110 000 – 140 000 dolarů).

„Pay2Key je sofistikovaný a velmi zákeřný ransomware. Kyberzločinci, pravděpodobně z Íránu, se snaží maximalizovat škody a minimalizovat riziko odhalení. Pay2Key rychle zašifruje systémy obětí a za zpřístupnění dat požaduje výkupné. Pokud nebude výkupné zaplacené, hrozí kyberzločinci zveřejněním ukradených informací na specializovaném webu. Zatím tato hackerská skupina své hrozby splnila. Očekáváme, že ransomware Pay2Key bude útočit po celém světě,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point.

Jak se bránit?

• Záplatujte. I když je obtížné zajistit nepřetržitou aktualizaci softwaru, kombinace systému prevence narušení (IPS) a koordinované patchovací strategie může ochránit organizace před nejnovějšími hrozbami.
• Používejte IPS (systém prevence narušení), který detekuje a zabrání pokusům o zneužití slabých míst ve zranitelných systémech nebo aplikacích.
• Nainstalujte si anti-ransomwarové řešení, které bezpečně obnoví zašifrovaná data a zamezí výpadku provozu.
• Používejte řešení pro zabezpečení koncových bodů, které identifikuje podezřelé ransomwarové chování, jako je šifrování souborů nebo pokus o proniknutí do záloh operačního systému, a bezpečně automaticky obnoví soubory zašifrované ransomwarem.