Pay2Key Ransomware

A ClearSky fenyegetéskutató cég jelentése szerint az iráni hátterű hackerek több tucat izraeli cég ellen végrehajtott novemberi és decemberi támadásai a zsarolóvírus támadásokon túl jelentős adatlopással is járt.

Az izraeli ipari, biztosítási és logisztikai vállalatokat célzó új támadássorozat állítólag két ismert állam által támogatott iráni csoport, az APT33 és az APT34 közös munkája. A ransomware támadásoknál a korábbi támadásokból megszerzett információk alapján az ellátási láncot is támadják, így egyre széleskörűben képesek alkalmazni eszközeiket.

A ClearSky szerint a Pay2Key kampány főleg a rendzavarásra irányul, egyfajta pánikkeltés, mert a váltságdíj követeléseken kívül jelentős mértékben támaszkodnak az adatszivárogtatásra is. A támadók 7-9 Bitcoint (130.000-170.000€) követelnek a visszafejtési kulcsokért, eközben azonnal közzéteszik az ellopott adatokról szóló mintákat egy weboldalon, hogy fizetésre kényszerítsék az áldozatokat.

Az elemzések alapján a Pay2Key ransomware működéséhez nincs szükség C&C szerverekre. A támadók a korábbi kampányokhoz hasonlóan a már ismert biztonsági réseket támadják, ilyenek a  CVE-2019-11510 (Pulse Secure), CVE-2018-13379 (Fortinet FortiOS), CVE-2018-1579 (Palo Alto Networks VPN), CVE-2019-19781 (Citrix NetScaler) és CVE- 2020-5902 (F5 BIG-IP).

(Forrás)