Pay2Key: nuevo ataque de ransomware en una hora a toda la red y demanda de hasta 9 bitcoins

Alerta de nuevo ransomware: »Pay2Key» está al acecho, ya ha cifrado las redes de varias organizaciones alrededor del mundo. Este ransomware encripta redes en una hora y todos los ataques dirigidos aún están bajo investigación.

El primer ataque se vio a fines de octubre, pero ahora ha aumentado en número, principalmente atacando objetivos en Israel. Según los investigadores de ciberseguridad, el número de piratas informáticos está aumentando a un ritmo alarmante y están siguiendo el mismo método para afianzarse, propagar y controlar de forma remota la infección dentro de las empresas negociadas.

El Equipo de Investigación de Ciberseguridad de Swascan entregó algunos resultados luego de colaborar en la detención de estos ataques.

Resultados clave

  • Anteriormente, este ransomware no descubierto se denominó Pay2Key y realiza ataques que han sido dirigidos contra empresas israelíes.
  • Es probable que toda la infección inicial se realice a través de una conexión RDP.
  • El flujo lateral se realiza mediante psexec.exe para administrar el ransomware en las distintas máquinas de la organización.
  • Las comunicaciones de red siempre reciben una atención especial para reducir el ruido que una gran cantidad de máquinas cifradas pueden crear al contactar con los servidores de Comando y Control.
  • El esquema de cifrado es compacto mediante el uso de algoritmos AES y RSA.

Ransomware Pay2Key

Según un informe de Checkpoint, no se pudieron correlacionar las operaciones del ransomware Pay2Key con ninguna otra cepa de ransomware existente. Y los expertos concluyeron que este ransomware parecía haber sido producido desde cero.

Sin embargo, los actores de amenazas Pay2Key están utilizando la herramienta portátil PsExec autorizada de Microsoft para realizar de forma remota las cargas útiles de ransomware llamadas Cobalt.Client.exe en los dispositivos de red de las organizaciones objetivo.

Además, los expertos en seguridad también afirmaron que la cuenta de Keybase también está usando el mismo nombre de Pay2Key para chatear con sus víctimas, y estas cuentas también tienen el mismo logo del sistema de contrato inteligente Pay2Key EOSIO.

Rescate

El ransomware Pay2Key se compone de C ++ y se ensambla con MSVC ++ 2015. Este ransomware se basa totalmente en la programación orientada a objetos y utiliza todas las clases bien diseñadas para su funcionamiento. Además, este ransomware también hace uso de bibliotecas de terceros al igual que las bibliotecas populares de Boost.

Aparte de esto, los expertos afirmaron que Pay2Key lee el servidor y las claves del puerto del archivo de configuración. En caso de que no se detecte un archivo de configuración en el directorio de trabajo actual, y si no se proporciona en las disputas de la línea de comandos, el ransomware dirigirá “no se encontró archivo de configuración” a un archivo en .Cobalt-Client-log.txt. 

  • Cobalt.Client.exe – ransomware Pay2Key
  • Config.ini: es un archivo de configuración que especifica «Servidor» y «Puerto».
  • ConnectPC.exe: servidor dinámico / proxy