Check Point identifica no Irã a origem de uma cadeia de ataques de ransomware contra Israel e empresas europeias

Salvador, 13/11/2020 – Os pesquisadores da Check Point, uma fornecedora líder de soluções de cibersegurança global, rastrearam o Pay2Key, uma nova variante de ransomware capaz de criptografar as informações da vítima em menos de uma hora, e descobriram que por trás desta ciberameaça está um grupo de cibercriminosos no Irã. A princípio, os especialistas da empresa revelaram que esse ciberataque era dirigido contra empresas israelenses, mas, recentemente, foram identificadas novas evidências que indicam que empresas de países europeus também foram vítimas desse ransomware.

Em busca do ouro

Quatro vítimas do Pay2Key decidiram pagar o resgate, oferecendo à Check Point a oportunidade de rastrear o dinheiro retirado. Os pesquisadores, em colaboração com a empresa de inteligência de blockchain Whitestream, rastrearam sequências de transações de Bitcoin a uma criptomoeda iraniana chamada Excoino. O fluxo começa com as carteiras (wallets) encontradas nas notas de resgate, continua com uma carteira (wallet) intermediária e, finalmente, com uma carteira final associada à referida moeda digital.

Fluxo de transação de Bitcoin entre vítimas e Excoino

A Excoino é uma entidade iraniana que fornece serviços seguros de transações de criptomoedas apenas para cidadãos do país. Para se registrar, o usuário precisa ter um número de telefone iraniano válido e código de ID/Melli code (کد ملی), bem como um documento de identidade. Tomando isso como ponto de partida, os pesquisadores da Check Point chegaram à conclusão de que os agentes mal-intencionados por trás dessa ameaça são, provavelmente, cidadãos iranianos.

Dupla extorsão, eixo principal do ataque

Os cibercriminosos por trás do Pay2Key usam uma tática chamada dupla extorsão, uma evolução recente no arsenal de variantes de ransomware. Essa nova estratégia não se limita a criptografar as informações da vítima para exigir o pagamento de um resgate, mas, para aumentar a pressão, ameaça publicar qualquer dado caso suas demandas não sejam atendidas. Além disso, grupos de cibercriminosos que usam Pay2Key criaram um site dedicado a vazar informações sobre suas vítimas.

Acredita-se que o ponto inicial de entrada para todas as invasões sejam os serviços RDP (Remote Desktop Protocol), que são caracterizados por seu baixo nível de segurança. Uma vez dentro da rede da vítima, os atacantes estabelecem um dispositivo que será usado como proxy para todas as comunicações de saída entre os computadores infectados por vírus e os servidores de comando e controle (C2) da Pay2Key. Isso ajuda os cibercriminosos a se esquivarem das medidas de detecção antes de criptografar todos os sistemas na rede, usando um único dispositivo para se comunicar com sua própria infraestrutura. Uma vez que a criptografia é concluída, as notas de resgate são deixadas nos sistemas hackeados, e o grupo por trás do ataque pede um resgate que varia entre sete e nove Bitcoins (ou seja, entre US$ 110 mil e US$ 140 mil).

“Acompanhamos o crescimento do ransomware globalmente, visando qualquer alvo, de hospitais a grandes empresas. A Pay2Key é uma variante muito mais rápida e sofisticada. Eventos recentes indicam que um novo grupo de cibercriminosos aderiu à tendência de ransomware direcionado, e todas as evidências coletadas, até agora, apontam para sua base no Irã”, diz Lotem Finkelsteen, diretor de inteligência de ameaças da Check Point. “Esses grupos de cibercriminosos lançaram uma campanha alarmante projetada para maximizar danos e minimizar a detecção, por isso aconselhamos as empresas em todo o mundo a terem muito cuidado”, conclui Finkelsteen.

Recomendações de proteção

1. Aplicar patch virtualmente: embora seja difícil acompanhar cada atualização de software, a orientação é adotar uma abordagem mais abrangente que combine a funcionalidade de Intrusion Prevention Systems (IPS) com uma estratégia de patch de segurança, a fim de que as empresas possam garantir que estão protegidas contra os exploits mais recentes.

2. Implementar um sistema de prevenção de intrusão: essas ferramentas detectam e evitam tentativas de explorar pontos fracos em sistemas ou aplicativos. As soluções IPS da Check Point são atualizadas automaticamente no firewall de próxima geração, garantindo a segurança das empresas independentemente de a ameaça ter sido lançada há anos ou há apenas alguns minutos.

3. Instalar o anti-Ransomware: Esses produtos protegem as empresas contra as variantes mais sofisticadas de ransomware, enquanto ao mesmo tempo recuperam dados criptografados, garantindo a continuidade dos negócios e a produtividade.

Em resumo, o fato de que os ataques parecem estar focados em entidades israelenses, os pesquisadores da Check Point reforçam a suposição de que essa onda de ataques é de fato executada por um atacante baseado no Irã. A Pay2Key é apenas a última onda de uma série de ataques de ransomware direcionados baseados no Irã, implantados contra organizações israelenses nos últimos meses, no que parece ser uma tendência crescente.

Últimas notícias

Serviços
Globant foi reconhecida como Premier Tier pela AWS Partner Network

Salvador, 16/04/2024 – A Globant, empresa digitalmente nativa focada em reinventar negócios por meio de soluções tecnológicas inovadoras, alcançou o Amazon Web Services (AWS) Premier Tier Partner status dentro da AWS Partner Network (APN). As AWS Premier Tier Services Partners são organizações reconhecidas pela expertise técnica comprovada e experiência demonstrada com clientes. Essa conquista destaca […]
Gov e Org
Pindamonhangaba: pioneirismo no Metaverso transforma cidade em modelo de inovação digital

Adotando tecnologias de realidade aumentada e virtual, Pindamonhangaba se destaca no cenário global como uma cidade inteligente que integra o metaverso na gestão pública, educação e turismo Salvador, 16/04/2024 – No cenário contemporâneo, onde a integração entre o digital e o real se torna cada vez mais presente, a Prefeitura de Pindamonhangaba emerge como pioneira […]
Serviços
Docusign reformula identidade e expande serviços digitais com tecnologias de inteligência artificial

Salvador, 16/04/2024 – A Docusign apresenta a expansão de sua estratégia de negócios ao abrir uma nova categoria de software como serviço (SaaS): Intelligent Agreement Management – IAM (Gerenciamento Inteligente de Acordos), e revela o lançamento da plataforma Docusign IAM e sua suíte de aplicações para liderar a categoria. A nova plataforma ajudará empresas de […]
Tecnologia
Uso de IA revoluciona operação de locadora de máquinas pesadas

Empresa de locação de caminhões e máquinas investe em inteligência artificial para agilizar processos e garantir informação atualizada em tempo real aos clientes Salvador, 16/04/2024 – No auge do uso de ferramentas de inteligência artificial (IA), a WPX Locações e Logística, uma empresa especializada em locação de máquinas pesadas e caminhões, anunciou um novo programa […]
Guia de Produtos
Lenovo anuncia Legion Pro 5i no Brasil

Portfólio gamer brasileiro ganha modelo equipado com chips e software de IA para oferecer aos jogadores mais performance e desempenho Salvador, 16/04/2024 – A Lenovo anuncia o lançamento do Legion Pro 5i ao seu portfólio gamer brasileiro. Habilitado com chips e software de IA, o novo modelo de notebook gamer foi projetado para elevar a […]

Menu