Nuestro Broker
Puntos importantes:
- Empresas en Israel han sido víctimas de dos oleadas de ataques de ransomware, con las familias de ransomware Pay2Key y WannaScream.
- Según Check Point Research, los ciberatacantes de Pay2Key exigen montos de rescates entre 7 y 9 BTC.
- Un investigador de una firma de ciberseguridad en Israel rastreó pagos de rescates a un intercambio de criptomonedas en Irán.
Recientemente fue detectada una oleada de ataques de ransomware hacia empresas ubicadas en Israel, específicamente con los programas maliciosos Pay2Key y WannaScream. Así lo reportaron la firma de ciberseguridad Check Point Research y diversas fuentes al medio ZDNet.
A través de una publicación en su sitio web, Check Point Research indicó que, a inicios de noviembre, una cantidad excepcional de pequeñas, medianas y grandes compañías de Israel informaron ser blancos de ataques de ransomware. La firma de seguridad cibernética manifestó que algunos de los ataques fueron perpetrados por los operadores de familias de ransomware como REvil y Ryuk, pero importantes corporaciones sufrieron «un ataque completo con una variante de ransomware previamente desconocida llamada Pay2Key«.
Lo que se sabe de Pay2Key
El equipo de Check Point Research explicó que Pay2Key pareciera ser un nuevo ransomware, creado desde cero, ya que no consiguieron correlación entre este software malicioso y otras familias de ransomware. La firma de ciberseguridad añadió que Pay2Key fue creado con esquemas de cifrado sólido, como AES y RSA.
La oleada de ataques fue creciendo con el pasar de los días, y en todos los casos el atacante o los atacantes implementaron el mismo modus operandi en cuanto a establecimiento, propagación y control de forma remota de la infección en los sistemas de las empresas vulneradas.
Asimismo, los investigadores de Check Point Research infirieron que el software malicioso se mueve lateralemente en las diferentes computadoras de las organizaciones que ataca, y que la infección ocurre mucho antes del ciberataque. De igual forma, los investigadores indicaron que los piratas informáticos solicitan entre 7 y 9 BTC como rescate, equivalentes a 112.000 y 144.000 dólares, según la cotización actual de bitcoin en CoinGecko.
«La investigación hasta ahora indica que el atacante pudo haber obtenido acceso a las redes de las organizaciones algún tiempo antes del ataque, pero presentó la capacidad de hacer un movimiento rápido para difundir el ransomware en una hora a toda la red . Después de completar la fase de infección, las víctimas recibieron una nota de rescate personalizada, con una demanda relativamente baja de 7-9 bitcoins (~ $ 110K- $ 140K)».
Check Point Research.
Según Check Point Research es probable que esta nueva familia de ransomware se esté implementando exclusivamente contras corporaciones de Israel. La firma de ciberseguridad agregó que observaron una redacción incoherente en inglés en el código de Pay2Key, por lo que infirieron que el atacante no es un hablante nativo de inglés.
También se han detectado ataques con ransomware WannaScream
Por otro lado, varias fuentes compartieron al medio ZDNet que se tratan de dos oleadas de ataques con ransom malware dirigidas a compañías israelíes, y que ambas podrían estar vinculadas con actores de amenazas iraníes, siendo WannaScream el otro ransomware usado.
De acuerdo con ZDNet, los ataques iniciaron a mediados de octubre, incrementándose durante noviembre y centrándose en compañías de Israel. Esta fuente indicó que los hackers piden grandes pagos a cambio de la clave para descifrar los archivos de las empresas atacadas y que, además, roban la información de tales corporaciones.
El fundador y director ejecutivo de la firma de seguridad israelí Profero, Omri Segev Moyal, declaró a ZDNet que WannaScream es utilizado en todo el mundo, pero que actualmente se está ofreciendo a través de un modelo de Ransomware como Servicio (RaaS), y quienes lo están alquilando están apuntando a Israel.
Para Moyal, las operaciones con WannaScream y con Pay2Key tienen un nivel de sofisticación promedio, y que varios indicativos lo hacen considerar que ambos programas maliciosos son administrados por entidades iraníes.
Entre esos indicativos resalta que Profero logró rastrear varios pagos en BTC de compañías israelíes a un intercambio de criptomonedas con sede en Irán, de nombre Excoino. «La sofisticación general de las olas de ransomware WannaScream y Pay2Key es muy promedio. El bajo nivel de sofisticación con Pay2Key nos permitió rastrear el flujo de bitcoins fácilmente«, compartió el investigador a ZDNet .
Recientemente, el diario The Register reportó que Compal, el segundo fabricante de computadoras portátiles del mundo, recibió un ataque de ransomware DoppelPaymer, y que los piratas informáticos le estaba exigiendo un rescate de 1.100 BTC, equivalentes a unos 18 millones de dólares, aproximadamente.
Imagen destacada por Pete Linforth/ pixabay.com
