Diverse e grandi società israeliane sono state violate e i loro sistemi sono stati crittografati utilizzando un nuovo ceppo di ransomware chiamato Pay2Key, in quello che sembra essere un attacco mirato contro le reti israeliane.
I primi attacchi sono stati visti alla fine di ottobre, ma ora sono aumentati di numero pur rimanendo confinati in Israele.
“Con il passare dei giorni, la maggior parte degli attacchi ransomware segnalati risulta essere correlata al nuovo ransomware Pay2Key”, ha affermato la società israeliana di sicurezza informatica Check Point in un avviso di sicurezza pubblicato oggi.
Secondo l’azienda, gli attacchi di solito si sono verificati dopo la mezzanotte, quando le aziende hanno meno dipendenti IT al lavoro.
Il punto di ingresso iniziale per tutte le intrusioni è attualmente ritenuto essere servizi RDP (Remote Desktop Protocol) con protezione debole.
L’accesso alle reti aziendali sembra essere stato ottenuto “qualche tempo prima dell’attacco”, ma una volta che il gruppo di ransomware inizia la sua intrusione, di solito impiega un’ora per diffondersi all’intera rete e crittografare i file.
Per evitare che le loro attività vengano rilevate, gli operatori Pay2Key di solito impostano un punto di rotazione sulla rete locale, attraverso il quale inviano tutte le loro comunicazioni per ridurre il loro footprint di rete rilevabile.
Una volta terminata la crittografia, le note di riscatto vengono lasciate sui sistemi hackerati, la banda Pay2Key che di solito chiede pagamenti da 7 a 9 bitcoin (~ $ 110.000- $ 140.000).
Sulla base delle analisi attuali, Check Point ha affermato che lo schema di crittografia sembra essere solido (utilizzando gli algoritmi AES e RSA), il che purtroppo ha impedito alla società di creare un decrypter gratuito per le vittime.
I ricercatori affermano che il ransomware è stato creato da zero, senza sovrapposizioni con altri ceppi di ransomware conosciuti, e sembra che sia stato chiamato “Cobalt” durante una fase di sviluppo precedente.
Alcuni investigatori del team di Check Point hanno anche collegato il ransomware a un account Keybase utilizzando lo stesso nome Pay2Key, registrato all’inizio di quest’anno a giugno, ma al momento non è chiaro chi abbia sviluppato il ransomware e perché stiano prendendo di mira solo le aziende israeliane.