Hackere kræver Bitcoin-løsesum efter en ny bølge af angreb

Europæiske og israelske virksomheder blev målrettet i en ny type ransomware-angreb kaldet Pay2Key. Mindst fire virksomheder har allerede betalt den anmodede løsesum i bitcoin.

En gruppe forskere har fundet en ny type ransomware-angreb kaldet Pay2Key udført mod flere israelske og europæiske virksomheder. Gjerningsmændene har anmodet om, at løsesummen skal betales med bitcoins, som forskerne har fulgt midlerne til en iransk kryptokurrencyudveksling.

Et nyt Ransomware-angreb på israelske og europæiske virksomheder

Den opdaterede forskning fra cybersikkerhedsfirmaet CheckPoint afslører flere, at virksomheder med base i Israel har klaget over at blive angrebet i de sidste par uger. De rapporterede alle, at denne ransomware havde spredt sig hurtigt over deres netværk, mens de fleste dele var crypto trader sammen med en løsesum, der truede med at lække stjålne virksomhedsdata, medmindre offeret betaler et krav.

Selvom det såkaldte Pay2Key-angreb oprindeligt kun var rettet mod israelske virksomheder, opstod der nye rapporter, der hævdede, at mindst et par europæiske lande også er blevet ofre.

Undersøgelsen fremhævede, at nogle af virksomhederne besluttede ikke at betale løsesummen. Gerningsmændene stod tro mod deres ord og offentliggjorde deres information online.

For at gøre det oprettede de et nyt Onion-websted og indsatte udpegede mapper til hvert af ofrene. Indtil videre har der været tre mapper med firmaers detaljer – alle israelske virksomheder.

Bitcoin-sporet antyder iransk involvering

Som nævnt ovenfor anmodede de ukendte angribere om krav om betaling i bitcoins. Hver løsesumnote, der blev sendt til ofrene, indeholdt en Bitcoin-adresse, som ofrene har brug for at sende midlerne til. Ifølge CheckPoint besluttede mindst fire ofre at betale.

Da den transparente karakter af BTC-blockchain gemmer alle transaktioner, var forskerne i stand til at følge betalingerne. De så alle transaktioner ende på en adresse. Fra dette tidspunkt blev midlerne omdirigeret til en tegnebog med høj aktivitet, som typisk er forbundet med kryptovalutaudvekslinger.

Derudover sammenlignede og verificerede forskerne, at denne endelige tegnebog tilhørte en iransk digital aktiverplatform med navnet Excoino.

Hvis Excoino-brugere ønsker at trække penge ud, skal de angive et gyldigt iransk telefonnummer, en ID / Melli-kode og en kopi af ID’et. Børsens vilkår og betingelser læser også, at den første transaktion (eller eventuelle mistænkelige transaktioner) vil blive rapporteret til det iranske cyberpoliti (FATA) til yderligere efterforskning.

Derfor konkluderede forskerne, at ejerne af den endelige tegnebog kunne være iranske borgere, „som sandsynligvis står bag Pay2Key-angrebet på israelske virksomheder i sidste uge.“