2020/11/12 13:50:03

Pay2Key (вирус-вымогатель)


Содержание

Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware

2020: Первые атаки шифровальщика

Вымогатель Pay2Key способен шифровать сети корпораций всего за час. Об этом стало известно 10 ноября 2020 года.

Ряд компаний и крупных корпораций в Израиле стали жертвами кибератак с использованием данного вымогательского ПО под названием Pay2Key. Первые атаки были зафиксированы специалистами из компании Check Point в конце октября 2020 года, и теперь их число увеличилось.

По словам специалистов, преступники обычно осуществляют атаки после полуночи, когда в компаниях работает меньше ИТ-сотрудников. Вредонос Pay2Key, предположительно, проникает в сеть организаций через слабо защищенное RDP-соединение (протокол удаленного рабочего стола). Злоумышленники получают доступ к корпоративным сетям «за некоторое время до атаки», а вредоносное ПО способно зашифровать сеть жертвы за час.Витрина данных НОТА ВИЗОР для налогового мониторинга 2.1 т

Проникнув в локальную сеть, хакеры устанавливают на одном из устройств прокси-сервер для обеспечения связи всех копий вредоноса с C&C-сервером. Запуск полезной нагрузки (Cobalt.Client.exe) осуществляется удаленно с помощью легитимной утилиты PsExec.

Многочисленные артефакты компиляции указывают на то, что у вымогателя есть и другое название — Cobalt. Хотя личность злоумышленников остается неизвестной, формулировки в различных строках кода, написанные на ломанном английском, позволяют предположить, что злоумышленник не является носителем английского языка.

Данный вымогатель написан на языке C++. Он шифрует файлы ключом AES, а для связи с C&C-сервером использует RSA-ключи. Таким же образом Pay2Key получает конфигурационный файл со списком расширений для шифрования, шаблоном сообщения с требованием выкупа и т.п.

После завершения шифрования во взломанных системах остаются записки с требованием выкупа. Группировка Pay2Key обычно требует выкуп в размере от 7 до 9 биткойнов (примерно от $110 до $140 тыс.). Схема шифрования преступников выглядит надежной (с использованием алгоритмов AES и RSA), и, к сожалению, эксперты пока не смогли разработать бесплатную версию дешифратора для жертв[1].

Примечания

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT