Hackers iranianos atacam Israel e exigem resgate de sistema com Bitcoin

Hackers iranianos estão usando ransomware para atacar serviços em Israel e na Europa exigindo resgates em Bitcoin

Os pesquisadores da Check Point anunciaram que rastrearam o Pay2Key, uma nova variante de ransomware capaz de criptografar as informações da vítima em menos de uma hora.

Segundo um informativo da empresa, os pequisadores descobriram que por trás desta ciberameaça está um grupo de cibercriminosos no Irã

A princípio, os especialistas da empresa revelaram que esse ciberataque era dirigido contra empresas israelenses, mas, recentemente, foram identificadas novas evidências que indicam que empresas de países europeus também foram vítimas desse ransomware

Rastreando os Bitcoins

Ainda de acordo com a Check Point os hackers, ao criptografarem os dados, pedem resgate em Bitcoins.

Quatro vítimas do Pay2Key decidiram pagar o resgate, oferecendo à Check Point a oportunidade de rastrear o dinheiro retirado.

Assim os pesquisadores, em colaboração com a empresa de inteligência de blockchain Whitestream, rastrearam sequências de transações de Bitcoin a uma empresa iraniana chamada Excoino.

O fluxo começa com as carteiras (wallets) encontradas nas notas de resgate, continua com uma carteira (wallet) intermediária e, finalmente, com uma carteira final associada à referida empresa. 

Fluxo de transação de Bitcoin entre vítimas e Excoino 

Excoino

A Excoino é uma entidade iraniana que fornece serviços seguros de transações de criptomoedas apenas para cidadãos do país.

Para se registrar, o usuário precisa ter um número de telefone iraniano válido e código de ID/Melli code (کد ملی), bem como um documento de identidade.

Tomando isso como ponto de partida, os pesquisadores da Check Point chegaram à conclusão de que os agentes mal-intencionados por trás dessa ameaça são, provavelmente, cidadãos iranianos. 

Os cibercriminosos por trás do Pay2Key usam uma tática chamada dupla extorsão, uma evolução recente no arsenal de variantes de ransomware.

Essa nova estratégia não se limita a criptografar as informações da vítima para exigir o pagamento de um resgate, mas, para aumentar a pressão, ameaça publicar qualquer dado caso suas demandas não sejam atendidas.

Além disso, grupos de cibercriminosos que usam Pay2Key criaram um site dedicado a vazar informações sobre suas vítimas. 

RDP

Acredita-se que o ponto inicial de entrada para todas as invasões sejam os serviços RDP (Remote Desktop Protocol), que são caracterizados por seu baixo nível de segurança.

Uma vez dentro da rede da vítima, os atacantes estabelecem um dispositivo que será usado como proxy para todas as comunicações de saída entre os computadores infectados por vírus e os servidores de comando e controle (C2) da Pay2Key. 

Isso ajuda os cibercriminosos a se esquivarem das medidas de detecção antes de criptografar todos os sistemas na rede, usando um único dispositivo para se comunicar com sua própria infraestrutura.

Uma vez que a criptografia é concluída, as notas de resgate são deixadas nos sistemas hackeados, e o grupo por trás do ataque pede um resgate que varia entre sete e nove Bitcoins.

“Acompanhamos o crescimento do ransomware globalmente, visando qualquer alvo, de hospitais a grandes empresas. A Pay2Key é uma variante muito mais rápida e sofisticada. Eventos recentes indicam que um novo grupo de cibercriminosos aderiu à tendência de ransomware direcionado, e todas as evidências coletadas, até agora, apontam para sua base no Irã”, diz Lotem Finkelsteen, diretor de inteligência de ameaças da Check Point.

LEIA MAIS

Você pode gostar...