&#39Pay out2Essential&#39 podría convertirse en la próxima gran amenaza de ransomware



Los investigadores de Test Place dicen que un actor de amenazas con sede en Irán ha atacado con éxito a varias empresas israelíes que pronto podrían globalizarse.

Una nueva cepa de ransomware que prolifera rápidamente y que durante las últimas dos semanas ya ha afectado a varias grandes empresas en Israel y algunas en Europa pronto podría representar una gran amenaza para las organizaciones de todo el mundo.

Check Issue Program Technologies, que publicó hoy un informe sobre la nueva cepa de ransomware llamada Pay out2Vital, dijo que es casi seguro de origen iraní y capaz de cifrar una crimson completa en una hora o menos.

Al igual que con muchas otras herramientas de ransomware, los autores de Spend2Key han estado explotando principalmente los servicios expuestos del Protocolo de escritorio remoto (RDP) para infiltrarse en las redes de las víctimas y luego expandir su presencia. Es posible que también estén usando otros vectores.

Una vez en una crimson de víctimas, los atacantes han estado configurando lo que Test Level describió como un «dispositivo pivote» o proxy para todas las comunicaciones entre los sistemas infectados y los servidores Fork out2Keys C2. La táctica de usar un solo dispositivo para comunicarse externamente ha ayudado al actor de amenazas a evadir la detección antes del cifrado. El grupo está usando el utilidad psexec dot exe moverse lateralmente en una pink infectada y ejecutar el ransomware en diferentes sistemas, dijo Check Issue.

Además de cifrar las redes, los atacantes de Spend2Crucial también han estado robando datos confidenciales de las organizaciones víctimas y amenazando con exponer públicamente los datos si no se paga el rescate exigido. Los actores de amenazas de Pay2Vital actualmente exigen a las víctimas entre 7 y 9 bitcoins relativamente modestos, o entre $ 113,000 y $ 145,500 a las tarifas del jueves, según Check out Issue.

Al menos cuatro víctimas han pagado a los atacantes para recuperar sus datos, y al menos otras tres que se negaron a hacerlo ya han publicado sus datos a través de un sitio website Tor que los atacantes han configurado expresamente para ese propósito, dijo Check Position.

Doble extorsión

En cada caso, los datos filtrados se cargaron en una carpeta dedicada en el sitio internet y se acompañaron de un mensaje que proporcionaba información detallada sobre la crimson de la víctima, incluidos el dominio, los servidores y la copia de seguridad. En su reporteTest Place describió a una de las víctimas que había sido condenada como bufete de abogados y a otra como empresa de juegos. Curiosamente, los atacantes divulgaron una gran cantidad de información confidencial perteneciente al bufete de abogados inmediatamente después de la expiración del plazo, pero le dieron a la empresa de juegos una segunda oportunidad de realizar el pago antes de divulgar información confidencial.

No está claro si las víctimas que pagaron el rescate pudieron recuperar sus datos.

«En Check Level consideramos que este ataque es sofisticado y avanzado, muy por encima de lo que se puede esperar de un actor de amenazas que nunca antes se había visto», dice Lotem Finkelsteen, director de inteligencia de amenazas de Check out Issue Software Technologies.

La capacidad del grupo para sincronizar los ataques contra varias empresas en un lapso de unos pocos días, su capacidad para cifrar una pink completa en menos de una hora y su éxito extorsionando a las víctimas son características de un actor sofisticado, señala.

Conexión Irán

Los investigadores se centraron en las billeteras de bitcoin en las notas de rescate enviadas a las empresas que realmente pagaron al actor de la amenaza: luego pudieron rastrear la transacción a un intercambio de criptomonedas iraní llamado Excoino que parece estar abierto solo para ciudadanos iraníes, basándose en el hecho de que el registro requiere un tarjeta de identificación nacional.

Por el momento, la mayoría de los ataques observados se han dirigido a empresas israelíes, aunque al menos una entidad europea también se ha visto afectada. «No vemos ningún límite técnico para que los atacantes se mantengan locales», dice Finkelsteen. «Vemos evidencia de infección en Europa, así que tal vez consideren globalizarse».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique