Varias empresas y grandes corporaciones en Israel han sido objeto de ciberataques utilizando un nuevo ransomware llamado Pay2Key..
Los primeros ataques fueron registrados por especialistas de Check Point a finales de octubre de este año., y ahora su número ha aumentado.
Según los expertos, Los delincuentes suelen realizar ataques después de la medianoche., cuando las empresas tienen menos trabajadores de TI. El malware Pay2Key supuestamente se infiltra en la red de organizaciones a través de una seguridad débil RDP (Remote Desktop Protocol) conexión. Los atacantes obtienen acceso a las redes corporativas "algún tiempo antes del ataque".,”y el malware puede cifrar la red de la víctima en una hora.
Habiendo penetrado en la red local., Los piratas informáticos instalan un servidor proxy en uno de los dispositivos para garantizar que todas las copias del malware estén conectadas al C.&servidor C. la carga útil (Cobalto.Cliente.exe) se inicia de forma remota utilizando la utilidad PsExec legítima.
Numerosos artefactos de compilación indican que el ransomware tiene otro nombre – Cobalto (no confundir con Cobalt Strike).
Aunque se desconoce la identidad de los atacantes, El lenguaje de las distintas líneas de código escritas en inglés deficiente sugiere que el atacante no es un hablante nativo de inglés..
El nuevo ransomware está escrito en C++ y no tiene análogos en el mercado de la darknet. Cifra archivos con la clave AES, y utiliza claves RSA para comunicarse con el C&servidor C. Del mismo modo, Pay2Key recibe un archivo de configuración con una lista de extensiones para cifrado, una plantilla para un mensaje de rescate, etc..
Una vez que se completa el cifrado, Las notas de rescate permanecen en los sistemas comprometidos.. La agrupación Pay2Key generalmente requiere un rescate de 7 a 9 bitcoins (apenas $110 a $ 140 mil). Los criminales’ el esquema de cifrado parece sólido (usando algoritmos AES y RSA) Desafortunadamente, los expertos aún no han podido desarrollar una versión gratuita del descifrador para las víctimas..
Déjame recordarte que recientemente El ransomware Ragnar Locker atacó al fabricante italiano de bebidas Gruppo Campari, y este es sólo uno de los más «delicioso» noticias de los últimos años.