上周,checkpoint研究人员发布了新兴勒索软件Pay2Key攻击的预警信息。研究人员随后进一步调查发现,勒索软件攻击主要针对以色列公司。勒索软件通过受害者的网络迅速传播,其中大部分网络都经过加密,并留下一条勒索信息,威胁要在不支付赎金的情况下泄露被盗的公司数据。几家公司选择支付赎金,赎金可用于追查该活动背后的攻击者。研究人员和区块链情报公司Whitestream的联合分析发现,比特币赎金支付全部流向了一家伊朗比特币交易所。虽然大多数公司位于以色列,但Swascan研究人员发现受害者位于欧洲。图1:Pay2Key加密的其他目标双重勒索双重勒索是近期勒索软件攻击的新趋势,它威胁要泄露从受害者网络窃取的数据,以迫使受害者支付赎金。Pay2Key运营商也使用了这个技巧。图2:泄露受害者数据的Pay2Key威胁Pay2Key的作者推出了一个新的Onion网站,用于共享不愿支付赎金的Pay2Key受害者的数据。图3:Pay2Key程序用来共享泄露数据的站点目前,没有支付赎金的受害者是3家以色列公司。每个受害公司泄露的数据连同攻击者留下的信息一起上传到网站上的指定文件夹。这些消息中包含有关受害者数字资产的敏感信息,包括域名、服务器和备份详细信息。图4:为某律师事务所定制的数据泄露信息图5:催促游戏开发公司支付赎金的更新信息赎金流向分析根据目前的数据,至少有4家受害公司支付了赎金。在Whitestream的协助下,研究人员追踪到赎金中使用的比特币来自一家名为Excoino的伊朗加密货币交易所。图6:受害者与目标交易所之间的比特币交易流程交易流程从支付赎金的比特币钱包开始。一旦受害者向赎金单中的钱包地址付款,攻击者就会立即将钱转入许多受害者在支付赎金时使用的即时钱包。然后将比特币转移到与高活动集群关联的最终钱包地址。高活跃度集群通常是与比特币市场相关的金融实体相关的组织,通常是交易所。为了验证最终钱包地址与Excoino交易所之间的关系,研究人员使用了WalletExplorer服务和已知的Excoino钱包地址。图7:在YouTube教程中找到的与Excoino交易所相关的比特币钱包。研究人员分析了图7中的比特币地址和最终钱包地址,发现clusterid[00045af14c]是相同的。图8:已知的Excoino钱包图9:与攻击相关的一系列交易中的最后一个钱包Excoino是一家伊朗公司,为伊朗人提供安全的加密货币交易。注册要求用户拥有有效的伊朗手机号码和ID/Melli代码(?????)。要在交易所进行交易,还需要一个ID。根据规定,Excoino表示,所有可疑交易都将报告给伊朗网络警察FATA,以便进一步调查。这表明钱包的最终所有者可能是伊朗人,或者是以色列Pay2Key勒索软件活动背后的攻击者。总结Pay2Key是一个主要针对以色列的勒索软件活动。攻击中使用了双重勒索技巧,迫使受害者支付赎金。研究人员追踪支付的比特币赎金的来源,发现赎金流向了伊朗一家加密货币交易所,这表明此次袭击的幕后黑手应该是伊朗人。本文翻译自:https://research.checkpoint.com/2020/pay2key-the-plot-thickens/【责任编辑:赵宁宁TEL:(010)68476606】
