Bitcoin-Ransomware: Pay2Key greift mehrere israelische Unternehmen an

Bitcoin-Ransomware: Pay2Key greift mehrere israelische Unternehmen an

By Lacie-Mae Durham - Min. gelesen
Aktualisiert 18 November 2020

Bei der Ransomware scheint es sich um eine neue Art von bösartiger Software zu handeln

Check Point, eine amerikanisch-israelische Cybersicherheitsfirma, stellte fest, dass in den letzten Wochen zahlreiche israelische Unternehmen und sogar Großkonzerne Opfer von Angriffen durch eine Ransomware namens Pay2Key geworden sind.

„Während einige der Angriffe mittels bekannter Ransomware wie REvil und Ryuk durchgeführt wurden, sind mehrere Großunternehmen von der bisher unbekannten Ransomware Pay2Key überwältigt worden“, so der Bericht.

Ermittler von Check Point untersuchten gemeinsam mit einem Blockchain-Geheimdienst namens Whitestream die in Ransomware-Notes hinterlassenen Walletadressen. Die Spur führte zu Excoini, einer Krypto-Börse mit Sitz im Iran.

Die Recherche von Check Point hat ergeben, dass es keinerlei Korrelation zwischen Pay2Key und irgendeiner anderen zu dieser Zeit existierenden Art von Ransomware gab. Das Team kam zu dem Schluss, dass diese bösartige Plattform von Grund auf neu entwickelt worden sein musste.

„Die durchgesickerten Daten jedes Opferunternehmens wurden zusammen mit einer individuellen Nachricht der Angreifer in einen speziellen Ordner auf der Website hochgeladen. In der Nachricht teilten die Angreifer vertrauliche Informationen über die digitalen Vermögenswerte des Opfers wie Einzelheiten über ihre Domain, Server und Backups“, erklärte Check Point.

„Die bisherigen Ermittlungen deuten darauf hin, dass sich der Angreifer möglicherweise schon einige Zeit vor dem Angriff Zugang zu den Netzwerken der Organisationen verschafft hatte und die Ransomware innerhalb einer Stunde im gesamten Netzwerk verbreitete.“

Die Ermittler fanden auch heraus, dass sich die Hacker bei ihrer Kommunikation mit ihren Opfern hinter dem Logo des Smart-Contract-Systems Pay2Key EOSIO auf Keybase versteckten. Dabei könne es sich um einen Zufall handeln, da die Angreifer das Logo möglicherweise zufällig aus Google-Bildern ausgewählt hatten.

In der Regel forderten die Drahtzieher der Pay2Key-Ransomware von ihren Opfern Lösegelder in der Höhe von sieben bis neun Bitcoin (BTC). Zum Zeitpunkt des Verfassens dieses Artikels beläuft sich dieser Betrag umgerechnet auf etwa 113.800 bis 146.300 US-Dollar.

Bislang haben vier Unternehmen die Hacker bezahlt, nachdem ihre Einlagen gehackt worden waren.

Das Pay2Key-Schema scheint kurz nach Mitternacht begonnen zu haben, als sich die Angreifer mit einem Rechner im Zielnetzwerk verbanden – höchstwahrscheinlich über das RDP. Der Rechner wird als Pivot- oder Proxy-Point innerhalb des Netzwerks definiert, und es wurde ein Programm namens ConnectPC.exe verwendet. Von diesem Punkt an lief die gesamte ausgehende Kommunikation zwischen allen Ransomware-Prozessen im Netzwerk und dem C&C-Server des Angreifers über diesen Proxy.