Pozor na nový ransomware z Íránu, útočníci požadují vysoké výkupné a hrozí zveřejněním ukradených informací
Check
Point Research, výzkumný tým společnosti Check Point® Software Technologies odhalil
nový zákeřný ransomware Pay2Key, za kterým stojí útočníci z Íránu. Pay2Key zašifruje
data obětí velmi rychle, většinou za méně než jednu hodinu. Napadené byly zatím
především izraelské organizace, ale podle nových informací se útočníci zaměřují
už i na evropské společnosti.
Po stopě výkupného
Čtyři oběti výkupné zaplatily a Check Point ve spolupráci s Whitestream tyto
bitcoinové transakce analyzoval. Oběti poslaly výkupné do bitcoinových
peněženek uvedených ve vyděračské zprávě. Finance byly následně přesunuté do
další bitcoinové peněženky a nakonec do íránské kryptopeněženky Excoino.
Bitcoinové transakce
mezi oběťmi a útočníky
Excoino je íránský subjekt, který poskytuje íránským občanům zabezpečené
kryptoměnové transakce. Registrace vyžaduje platné íránské telefonní číslo a
ID/Melli kód (کد
ملی) a pro transakce je nutná kopie ID. Na základě těchto indicií dospěl
Check Point k závěru, že se velmi pravděpodobně jedná o kyberskupinu složenou z
íránských občanů.
Dvojité vydírání
Kyberzločinci stojící za ransomwarem Pay2Key využívají dvojité vydírání. Zašifrují
data a za jejich zpřístupnění požadují výkupné, pokud nebudou splněny jejich
podmínky. Současně hrozí zveřejněním ukradených informací na specializovaném
webu. Neplatícími oběťmi dvojitého vydírání Pay2Key jsou zatím 3 izraelské
společnosti. Check Point nicméně očekává, že počet obětí mimo Izrael rychle
poroste.
E-mail hrozící
zveřejněním ukradených informací
Stránka Pay2Key zaměřená
na zveřejnění ukradených dat
Útočníci zatím do systémů pronikali pomocí slabě zabezpečené služby RDP
(Remote Desktop Protocol). Jakmile se útočníci dostanou do sítě oběti, určí hlavní
zařízení, které bude použito jako proxy pro veškerou odchozí komunikaci mezi
počítači infikovanými ransomwarem a řídícími servery Pay2Key. Útočníci se tak vyhnou
detekci, dokud nezašifrují všechny dostupné systémy v síti. Jakmile šifrování
skončí, na hacknutých systémech se zobrazí zpráva se žádostí o zaplacení
výkupného. Gang obvykle požaduje 7 až 9 bitcoinů (přibližně 110 000 – 140
000 dolarů).
„Jsme uprostřed ransomwarové bouře. V ohrožení jsou všechny
organizace, od nemocnic až po nadnárodní korporace. Pay2Key je sofistikovaný a velmi
zákeřný ransomware. Kyberzločinci, pravděpodobně z Íránu, se snaží
maximalizovat škody a minimalizovat riziko odhalení. Pay2Key rychle zašifruje
systémy obětí a za zpřístupnění dat požaduje výkupné. Pokud nebude výkupné
zaplacené, hrozí kyberzločinci zveřejněním ukradených informací na
specializovaném webu. Zatím tato hackerská skupina své hrozby splnila. Očekáváme,
že ransomware Pay2Key bude útočit po celém světě,“ komentuje Peter Kovalčík, Regional Director,
Security Engineering EE ve společnosti Check Point.
Bezpečnostní tipy pro
ochranu organizací
1.
Záplatujte. I
když je obtížné zajistit nepřetržitou aktualizaci softwaru, kombinace systému
prevence narušení (IPS) a koordinované patchovací strategie může ochránit
organizace před nejnovějšími hrozbami.
2.
Používejte IPS. Systémy
prevence narušení detekují a zabrání pokusům o zneužití slabých míst ve
zranitelných systémech nebo aplikacích. Check Point IPS se v next-gen
firewallech aktualizuje automaticky. Ať už byla zranitelnost objevena před lety
nebo před několika minutami, vaše organizace je chráněna.
3.
Nainstalujte si anti-ransomware.
Anti-ransomwarové řešení chrání organizace i před těmi nejsofistikovanějšími
ransomwarovými útoky. Bezpečně obnoví zašifrovaná data a zamezí výpadku provozu.
4.
Používejte SandBlast Agent.
Kompletní řešení pro zabezpečení koncových bodů
identifikuje podezřelé ransomwarové chování, jako je šifrování souborů nebo
pokus o proniknutí do záloh operačního systému, a bezpečně automaticky obnoví
soubory zašifrované ransomwarem.
Zveřejněno: 01. 12. 2020
