Durante la semana pasada las empresas recibieron varios ataques de ransomware conocidos, pero “A medida que pasan los días, los ataques de ransomware reportados resultan estar relacionados con el nuevo ransomware Pay2Key. El atacante siguió el mismo procedimiento para afianzarse, propagar y controlar de forma remota la infección dentro de las empresas comprometidas.” Informo la empresa de seguridad Checkpoint.
Según la empresa de seguridad en los últimos días, pudieron obtener artefactos forenses de los equipos infectados descubriendo una nueva cepa de ransomware.
Los investigadores dicen que el vector de entrada se realiza a través de la conexión RDP, luego realiza movimientos laterales mediante psexec.exe para ejecutar el ransomware y los algoritmos utilizaos son AES y RSA.
“Al analizar la operación del ransomware Pay2Key, no pudimos correlacionarlo con ninguna otra cepa de ransomware existente y al parecer se desarrolló desde cero.” Informaron los especialistas de checkpoint.
Hasta ahora indica que el atacante pudo haber obtenido acceso a las redes de las organizaciones algún tiempo antes del ataque. Después de completar la fase de infección, las víctimas recibieron una nota de rescate personalizada, con una demanda de de 7-9 bitcoins (~ $ 110K- $ 140K).
Para ver el análisis técnico de la investigación te recomendamos visitar el sitio de checkponit.com.
