Новый вымогатель Pay2Key способен шифровать сети корпораций всего за час

Новый вымогатель Pay2Key способен шифровать сети корпораций всего за час

Преступники обычно осуществляют атаки после полуночи, когда в компаниях работает меньше IT-сотрудников.

Ряд компаний и крупных корпораций в Израиле стали жертвами кибератак с использованием нового вымогательского ПО под названием Pay2Key. Первые атаки были зафиксированы специалистами из компании Check Point в конце октября нынешнего года, и теперь их число увеличилось.

По словам специалистов, преступники обычно осуществляют атаки после полуночи, когда в компаниях работает меньше IT-сотрудников. Вредонос Pay2Key предположительно проникает в сеть организаций через слабо защищенное RDP-соединение (протокол удаленного рабочего стола). Злоумышленники получают доступ к корпоративным сетям «за некоторое время до атаки», а вредоносное ПО способно зашифровать сеть жертвы за час.

Проникнув в локальную сеть, хакеры устанавливают на одном из устройств прокси-сервер для обеспечения связи всех копий вредоноса с C&C-сервером. Запуск полезной нагрузки (Cobalt.Client.exe) осуществляется удаленно с помощью легитимной утилиты PsExec.

Многочисленные артефакты компиляции указывают на то, что у вымогателя есть и другое название — Cobalt. Хотя личность злоумышленников остается неизвестной, формулировки в различных строках кода, написанные на ломанном английском, позволяют предположить, что злоумышленник не является носителем английского языка.

Новый вымогатель написан на языке C++ и не имеет аналогов на подпольном рынке. Он шифрует файлы ключом AES, а для связи с C&C-сервером использует RSA-ключи. Таким же образом Pay2Key получает конфигурационный файл со списком расширений для шифрования, шаблоном сообщения с требованием выкупа и т.п.

После завершения шифрования во взломанных системах остаются записки с требованием выкупа. Группировка Pay2Key обычно требует выкуп в размере от 7 до 9 биткойнов (примерно от $110 до $140 тыс.). Схема шифрования преступников выглядит надежной (с использованием алгоритмов AES и RSA), и, к сожалению, в настоящее время эксперты не смогли разработать бесплатную версию дешифратора для жертв.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!