Threat Database Ransomware Pay2Key Ransomware

Pay2Key Ransomware

Die Pay2Key Ransomware ist eine maßgeschneiderte Krypto-Locker Bedrohung, die bei Angriffen ausschließlich auf Unternehmen aus Israel eingesetzt wurde. Laut den Infosec-Forschern wurde die Bedrohung von den Hackern vollständig von Grund auf neu aufgebaut und zeigt im Vergleich zum typischen Ransomware-Verhalten viel Liebe zum Detail.

Die Pay2Key Ransomware wird höchstwahrscheinlich über eine RDP-Verbindung (Remote Desktop Protocol) mit schwachen Sicherheitsmaßnahmen bereitgestellt. Die Angriffe finden fast immer nach Mitternacht statt, wenn angeblich weniger Personal in den Büros ist. Daher dauert es länger, bis eine Reaktion erfolgt, wenn der Malware-Angriff erkannt wird. Nachdem der ursprüngliche Computer kompromittiert wurde, beginnt sich die Pay2Key Ransomware mithilfe von psexec.exe seitlich über das interne Netzwerk des Opfers zu verbreiten. Bei einer potenziell beträchtlichen Anzahl infizierter Computer wäre der von ihnen generierte Datenverkehr zu schwer zu maskieren, wenn jeder einzeln mit der Command-and-Control-Infrastruktur (C&C, C2) kommuniziert. Stattdessen wurde bei den Angriffen der erste infizierte Computer als Pivot- / Proxy-Punkt eingerichtet, obwohl es sich höchstwahrscheinlich um ein Programm namens ConnectPC.exe handelt. Es fungiert dann als Vermittler zwischen den anderen gefährdeten Systemen und den C&C-Servern.

Die Pay2Key Ransomware wird noch entwickelt

Die Hauptdateien der Bedrohung sind eine ausführbare Datei mit der Ransomware Cobalt.Client.exe und eine Konfigurationsdatei mit den spezifischen Parametern für 'Server' und 'Port'. Die Angreifer liefern auch die ConnectPC-Anwendung, mit der der Pivot/Proxy-Server erstellt wurde. Nach der Ersteinrichtung wartet Pay2Key darauf, dass die Angreifer weitere Befehle senden. Die Funktionalität der Bedrohung ist äußerst flexibel, da durch den Empfang einer Nachricht die genaue Liste der zu verschlüsselnden Dateitypen, der Name der Datei mit dem Lösegeldschein, der Inhalt des Lösegeldscheins selbst und sogar die an das angehängte Erweiterung bestimmt werden können. In den meisten Fällen lautete die Erweiterung '.pay2key', während der Name der Lösegelddatei so geändert wurde, dass er den Namen der infizierten Organisation enthält, wobei die Vorlage [ORGANISATION] _MESSAGE.TXT lautet. Der Lösegeldschein kann eine speziell erstellte ASCII-Typ des Opfernamens enthalten. Die von den Hackern geforderte Summe variiert zwischen 7 und 9 Bitcoins, was bei den aktuellen Wechselkursen einer Spanne zwischen 170.000 und 220.000 USD entspricht.

Für den Verschlüsselungsprozess verwendet Pay2Key eine Kombination aus AES und RSA. Wenn keine Internetverbindung besteht oder die C&C-Server ausgefallen sind, wird die Verschlüsselung der Dateien nicht eingeleitet, da die Bedrohung zur Laufzeit einen öffentlichen RSA-Schlüssel von den Servern erhalten muss.

Nach der Analyse einiger Versionen von Pay2Key wird deutlich, dass die Hacker aktiv weitere Funktionen hinzufügen. Beispielsweise sind neuere Versionen mit einem Reinigungsmechanismus ausgestattet, mit dem die Bedrohung ihre eigenen Dateien löscht und den gefährdeten Computer neu startet.

Die Hacker hinter Pay2Key scheinen sich vorerst auf israelische Ziele zu konzentrieren, aber die Raffinesse ihrer Malware-Tools und die Angriffskette der Kampagnen zeigen, dass sie in der Lage sind, ihre Aktivitäten auf globaler Ebene schnell zu erweitern.

Pay2Key Ransomware Screenshots

Im Trend

Am häufigsten gesehen

Wird geladen...