El nuevo ransomware Pay2Key cifra las redes corporativas en sólo una hora

New ransomware Pay2Key

Varias empresas y grandes corporaciones en Israel han sido objeto de ciberataques utilizando un nuevo ransomware llamado Pay2Key..

Los primeros ataques fueron registrados por especialistas de Check Point a finales de octubre de este año., y ahora su número ha aumentado.

Durante la semana pasada, un número excepcional de empresas israelíes informaron sobre ataques de ransomware. Si bien algunos de los ataques fueron llevados a cabo por cadenas de ransomware conocidas como REvil y Ryuk, Varias grandes corporaciones sufrieron un ataque completo con una variante de ransomware previamente desconocida llamada Pay2Key..dijeron los expertos de Check Point.

Según los expertos, Los delincuentes suelen realizar ataques después de la medianoche., cuando las empresas tienen menos trabajadores de TI. El malware Pay2Key supuestamente se infiltra en la red de organizaciones a través de una seguridad débil RDP (Remote Desktop Protocol) conexión. Los atacantes obtienen acceso a las redes corporativas "algún tiempo antes del ataque".,”y el malware puede cifrar la red de la víctima en una hora.

Habiendo penetrado en la red local., Los piratas informáticos instalan un servidor proxy en uno de los dispositivos para garantizar que todas las copias del malware estén conectadas al C.&servidor C. la carga útil (Cobalto.Cliente.exe) se inicia de forma remota utilizando la utilidad PsExec legítima.

Numerosos artefactos de compilación indican que el ransomware tiene otro nombre – Cobalto (no confundir con Cobalt Strike).

Aunque se desconoce la identidad de los atacantes, El lenguaje de las distintas líneas de código escritas en inglés deficiente sugiere que el atacante no es un hablante nativo de inglés..

Analizando la operación del ransomware Pay2Key, No pudimos correlacionarlo con ninguna otra cepa de ransomware existente., y parece estar desarrollado desde cero. Solo un motor de VirusTotal detectó las muestras de ransomware cargadas como maliciosas, a pesar de que el ransomware no utiliza un Packer ni protección de ningún tipo para ocultar su funcionalidad interna.dicen los investigadores.

El nuevo ransomware está escrito en C++ y no tiene análogos en el mercado de la darknet. Cifra archivos con la clave AES, y utiliza claves RSA para comunicarse con el C&servidor C. Del mismo modo, Pay2Key recibe un archivo de configuración con una lista de extensiones para cifrado, una plantilla para un mensaje de rescate, etc..

Una vez que se completa el cifrado, Las notas de rescate permanecen en los sistemas comprometidos.. La agrupación Pay2Key generalmente requiere un rescate de 7 a 9 bitcoins (apenas $110 a $ 140 mil). Los criminales’ el esquema de cifrado parece sólido (usando algoritmos AES y RSA) Desafortunadamente, los expertos aún no han podido desarrollar una versión gratuita del descifrador para las víctimas..

Déjame recordarte que recientemente El ransomware Ragnar Locker atacó al fabricante italiano de bebidas Gruppo Campari, y este es sólo uno de los más «delicioso» noticias de los últimos años.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *