Onda recente de ransomware visando Israel é ligada a atores de ameaças iranianas
As empresas israelenses observaram um aumento nos ataques e infecções bem-sucedidas com os ransomware Pay2Key e WannaScream.
Duas ondas recentes de ransomware que visavam empresas israelenses foram rastreadas até os atores iranianos da ameaça, disseram várias fontes à ZDNet hoje.
Os ataques de ransomware estão ocorrendo desde meados de outubro, aumentaram neste mês e se concentraram repetidamente em alvos israelenses.
Empresas israelenses de todos os tamanhos têm sido alvo de atores de ameaças usando o Pay2Key e WannaScream ransomware cepas.
Os hackers violaram redes corporativas, roubaram dados da empresa, criptografaram arquivos e pediram enormes pagamentos para entregar uma chave de descriptografia.
Além disso, adicionando a essa tática, esta semana, a gangue de ransomware Pay2Key também lançou um “diretório de vazamento” na dark web, onde o grupo agora está vazando dados que roubou de empresas que se recusaram a pagar o pedido de resgate, Ram Levi , fundador e CEO da Konfidas, uma empresa de consultoria em segurança cibernética com sede em Israel, disse à ZDNet hoje.
Os ataques Pay2Key são um caso curioso porque, ao contrário da maioria das outras operações de ransomware que ocorrem hoje, esses ataques se concentraram repetidamente e principalmente em infectar empresas israelenses .
Ataques com o ransomware WannaScream foram detectados em todo o mundo, mas Omri Segev Moyal , fundador e CEO da empresa de segurança israelense Profero, disse à ZDNet que este ransomware está atualmente disponível por meio de um modelo Ransomware-as-a-Service (RaaS) e aquele O grupo que aluga o ransomware de seus criadores tem como alvo empresas israelenses em particular.
Profero, que é uma das empresas de segurança locais que atualmente fornecem serviços de Resposta a Incidentes (IR) para muitas empresas israelenses sitiadas, disse hoje que rastreou vários pagamentos que empresas israelenses fizeram à Excoino , uma bolsa de criptomoedas com sede no Irã.
“A sofisticação geral das ondas de ransomware WannaScream e Pay2Key é muito média. O baixo nível de sofisticação com Pay2Key nos permitiu rastrear o fluxo de bitcoin facilmente”, disse Moyal à ZDNet .
“Nossa equipe identificou uma estratégia de saída da Excoino, uma bolsa de criptomoedas com sede no Irã. Esse ato é muito incomum para os principais operadores de ransomware”, acrescentou o executivo da Profero.
“Um operador experiente passará por serviços de mistura, trocando entre moedas diferentes por meio de subtrocas Binance, como ChangeNow, ou outras bolsas menos familiares, como coin2cards.
“Não vimos nenhum deles neste caso. Isso pode indicar a origem dos atacantes, embora possa ser uma bandeira falsa, como todos sabemos em nosso setor.”
As descobertas de Profero e as ligações entre Pay2Key e um ator de ameaças baseado no Irã também foram confirmadas hoje pela Check Point e uma terceira fonte que falou com a ZDNet sob a condição de anonimato.
A Check Point, que detectou pela primeira vez a onda de ransomware Pay2Key na semana passada, planeja publicar um relatório detalhado sobre suas descobertas mais recentes e os links iranianos na quinta-feira.
Embora os pagamentos não tenham sido rastreados para Excoino pelos ataques WannaScream, outros indicadores no código e no processo de negociações de resgate também levaram Moyal e outros a pensar que este grupo de ransomware também é gerenciado por uma entidade iraniana.
BUGS E PERDA DE DADOS PARA ALGUMAS VÍTIMAS
A avaliação de Moyal de que Pay2Key e WannaScream são operações simples também foi confirmada por evidências de incidentes do mundo real.
Por exemplo, em alguns incidentes anteriores do Pay2Key, os servidores de comando e controle do ransomware não liberaram uma chave de descriptografia para algumas vítimas que pagaram o resgate, deixando as empresas incapazes de recuperar seus arquivos.
No caso do WannaScream, o descriptografador de ransomware, o aplicativo que as vítimas recebem para descriptografar seus arquivos depois de pagar o pedido de resgate, também tem gerado erros em alguns casos, de forma semelhante, deixando as empresas incapazes de recuperar seus dados mesmo depois de fazer pagamentos.
Nos últimos meses, tanto Israel quanto o Irã se acusaram mutuamente de realizar ataques cibernéticos contra a infraestrutura crítica um do outro [ 1 , 2 , 3 ].
No momento em que este artigo foi escrito, não havia nenhuma evidência para vincular os ataques Pay2Key ou WannaScream que ocorreram em Israel a uma entidade do governo iraniano, sem qualquer dúvida. No entanto, a porta foi deixada aberta para futuras investigações.
