Израильские корпорации стали жертвами атак с использованием написанного на С++ вымогателя Pay2Key. Первые из них были зафиксированы специалистами из Check Point в конце октября.

В Check Point рассказали, что хакеры обычно атакуют после полуночи, когда на рабочем месте присутствует меньше IT-сотрудников. Вредонос, предположительно, проникает в корпоративную сеть через слабо защищённое RDP-соединение (протокол удалённого рабочего стола). Преступники получают доступ к сетям «за некоторое время до атаки», а малварь способна зашифровать их за час.

Далее хакеры устанавливают на одном из устройств прокси-сервер для обеспечения связи всех копий вредоноса с C&C-сервером. Запуск полезной нагрузки осуществляется удалённо с помощью легитимной утилиты PsExec. Артефакты компиляции говорят о том, что у вымогателя есть и другое название – Cobalt.

После завершения шифрования в системах остаются записки с требованием выкупа. Обычно в размере от 7 до 9 биткойнов (примерно 110-140 тыс. долларов).

Формулировки в коде, написанные на ломанном английском, позволяют предположить, что злоумышленники не являются носителями английского языка.

10 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных