Em busca do ouro

Quatro vítimas do Pay2Key decidiram pagar o resgate, oferecendo à Check Point a oportunidade de rastrear o dinheiro retirado. Os pesquisadores, em colaboração com a empresa de inteligência de blockchain Whitestream, rastrearam sequências de transações de Bitcoin a uma criptomoeda iraniana chamada Excoino. O fluxo começa com as carteiras (wallets) encontradas nas notas de resgate, continua com uma carteira (wallet) intermediária e, finalmente, com uma carteira final associada à referida moeda digital.

A Excoino é uma entidade iraniana que fornece serviços seguros de transações de criptomoedas apenas para cidadãos do país. Para se registrar, o usuário precisa ter um número de telefone iraniano válido e código de ID/Melli code (کد ملی), bem como um documento de identidade. Tomando isso como ponto de partida, os pesquisadores da Check Point chegaram à conclusão de que os agentes mal-intencionados por trás dessa ameaça são, provavelmente, cidadãos iranianos.

Dupla extorsão, eixo principal do ataque

Os cibercriminosos por trás do Pay2Key usam uma tática chamada dupla extorsão, uma evolução recente no arsenal de variantes de ransomware. Essa nova estratégia não se limita a criptografar as informações da vítima para exigir o pagamento de um resgate, mas, para aumentar a pressão, ameaça publicar qualquer dado caso suas demandas não sejam atendidas. Além disso, grupos de cibercriminosos que usam Pay2Key criaram um site dedicado a vazar informações sobre suas vítimas.

Acredita-se que o ponto inicial de entrada para todas as invasões sejam os serviços RDP (Remote Desktop Protocol), que são caracterizados por seu baixo nível de segurança. Uma vez dentro da rede da vítima, os atacantes estabelecem um dispositivo que será usado como proxy para todas as comunicações de saída entre os computadores infectados por vírus e os servidores de comando e controle (C2) da Pay2Key. Isso ajuda os cibercriminosos a se esquivarem das medidas de detecção antes de criptografar todos os sistemas na rede, usando um único dispositivo para se comunicar com sua própria infraestrutura. Uma vez que a criptografia é concluída, as notas de resgate são deixadas nos sistemas hackeados, e o grupo por trás do ataque pede um resgate que varia entre sete e nove Bitcoins (ou seja, entre US$ 110 mil e US$ 140 mil).

“Acompanhamos o crescimento do ransomware globalmente, visando qualquer alvo, de hospitais a grandes empresas. A Pay2Key é uma variante muito mais rápida e sofisticada. Eventos recentes indicam que um novo grupo de cibercriminosos aderiu à tendência de ransomware direcionado, e todas as evidências coletadas, até agora, apontam para sua base no Irã", diz Lotem Finkelsteen, diretor de inteligência de ameaças da Check Point. "Esses grupos de cibercriminosos lançaram uma campanha alarmante projetada para maximizar danos e minimizar a detecção, por isso aconselhamos as empresas em todo o mundo a terem muito cuidado", conclui Finkelsteen.

Recomendações de proteção

1. Aplicar patch virtualmente: embora seja difícil acompanhar cada atualização de software, a orientação é adotar uma abordagem mais abrangente que combine a funcionalidade de Intrusion Prevention Systems (IPS) com uma estratégia de patch de segurança, a fim de que as empresas possam garantir que estão protegidas contra os exploits mais recentes.

2. Implementar um sistema de prevenção de intrusão: essas ferramentas detectam e evitam tentativas de explorar pontos fracos em sistemas ou aplicativos. As soluções IPS da Check Point são atualizadas automaticamente no firewall de próxima geração, garantindo a segurança das empresas independentemente de a ameaça ter sido lançada há anos ou há apenas alguns minutos.

3. Instalar o anti-Ransomware: Esses produtos protegem as empresas contra as variantes mais sofisticadas de ransomware, enquanto ao mesmo tempo recuperam dados criptografados, garantindo a continuidade dos negócios e a produtividade.

Em resumo, o fato de que os ataques parecem estar focados em entidades israelenses, os pesquisadores da Check Point reforçam a suposição de que essa onda de ataques é de fato executada por um atacante baseado no Irã. A Pay2Key é apenas a última onda de uma série de ataques de ransomware direcionados baseados no Irã, implantados contra organizações israelenses nos últimos meses, no que parece ser uma tendência crescente.