انتشار شده در تاریخ 1399/08/21 - 09:23

شناسایی باج افزار Pay2Key

شرکت چک پوینت بدافزاری به نام «Pay2Key» شناسایی کرد.

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت چک پوینت بدافزاری به نام پی‌توکی (Pay2Key) شناسایی کردند که شرکت‌های بزرگ را هدف قرار می‌دهد.

نخستین حمله‌های این باج افزار اواخر ماه اکتبر سال جاری میلادی از سوی شرکت چک پوینت ثبت‌شده و حملات همچنان رو به افزایش است.

مهاجمان معمولاً با بهره‌گیری از اتصالات ناامن RDP به شبکه‌های سازمانی نفوذ کرده و از طریق پی‌تو‌کی شبکه‌ها را در عرض یک ساعت رمزگذاری می‌کنند.

هکرها پس از نفوذ به شبکه در یکی از سیستم‌ها پروکسی سرور نصب می‌کنند تا ارتباط تمام نسخه‌های بدافزار را با سرور فرماندهی و کنترل برقرار کنند. آن‌ها با استفاده از ابزار قانونی PsExec از راه دور اقدام به اجرای پیلود Cobalt.Client.exe می‌کنند.

افرادی که پشت حملات پی‌توکی قرار دارند، به زبان انگلیسی تسلط چندانی ندارند و هویتشان ناشناس است.

باج افزار نوظهور پی‌توکی به زبان ++C نوشته‌شده و مشابه آن در فروشگاه‌های وب تاریک وجود ندارد. پی‌توکی فایل‌ها را با کلید AES رمزگذاری کرده و جهت ارتباط با سرور فرماندهی و کنترل از کلیدهای RSA استفاده می‌کند.

هکرها پس از اتمام رمزگذاری در سیستم‌های هک شده یادداشت درخواست باج برجای می‌گذارند و معمولاً 7 تا 9 بیت کوین یا تقریباً 110 هزار تا 140 هزار دلار باج درخواست می‌کنند.