Pay2Key แรนซัมแวร์ที่เข้ารหัสเครือข่ายในหนึ่งชั่วโมง

November 10, 2020 แมตต์มิลส์ อินเทอร์เน็ต 0

ในบรรดาภัยคุกคามทั้งหมดที่อาจส่งผลกระทบต่ออุปกรณ์ของเราแรนซัมแวร์เป็นหนึ่งในสิ่งที่สำคัญที่สุดอย่างไม่ต้องสงสัย ดังที่เราทราบกันดีว่าสามารถเข้ารหัสระบบและอุปกรณ์ของเราได้ คุณสามารถทิ้งไฟล์ที่จัดเก็บไว้ทั้งหมดโดยไม่สามารถกู้คืนได้และสูญเสียข้อมูลทั้งหมด ในบทความนี้เรากล่าวถึง เพย์ทูคีย์ ภัยคุกคามใหม่ที่สามารถเข้ารหัสเครือข่ายทั้งหมดในเวลาเพียงหนึ่งชั่วโมง

Pay2Key ransomware ที่เข้ารหัสเครือข่ายในหนึ่งชั่วโมง

เรากำลังเผชิญหน้ากับ ransomware จำนวนมากที่อยู่บนอินเทอร์เน็ต อย่างไรก็ตาม Pay2Key มีความผิดปกติที่สามารถเข้ารหัสเครือข่ายได้ในเวลาอันสั้น รายงานโดย Check Point ระบุว่าผู้โจมตีที่อยู่เบื้องหลังภัยคุกคามนี้มักใช้ พิธีสารสก์ท็อประยะไกล (RDP) เพื่อเข้าถึงคอมพิวเตอร์ของเหยื่อ

Pay2Key แรนซัมแวร์ที่เข้ารหัสเครือข่าย

ก่อนอื่นผู้บุกรุกสามารถแทรกซึมเข้าไปในเครือข่ายของเหยื่อได้ จากนั้นพวกเขาก็เริ่มเข้ารหัสระบบอย่างรวดเร็วและในเวลาไม่ถึงหนึ่งชั่วโมงก็สามารถทำได้ แพร่กระจาย ransomware ทั่วทั้งเครือข่าย

เมื่อพวกเขาอยู่ในเครือข่ายแฮกเกอร์จะกำหนดค่าอุปกรณ์เดือยซึ่งจะเป็นอุปกรณ์ที่ใช้เป็นพร็อกซีสำหรับการสื่อสารทั้งหมดที่เกิดขึ้นระหว่างคอมพิวเตอร์เครื่องอื่นที่ติดภัยคุกคามนี้และเซิร์ฟเวอร์คำสั่งและการควบคุม

ด้วยวิธีหลังนี้พวกเขาจัดการเพื่อหลบเลี่ยงหรือลดความเสี่ยงที่จะถูกตรวจพบก่อนที่จะเข้ารหัสระบบที่สามารถเข้าถึงได้ทั้งหมดบนเครือข่ายโดยใช้อุปกรณ์เครื่องเดียว

Ataques ของแรนซัมแวร์

ช่วยฟื้นการควบคุม

Ransomware ตามที่เราระบุไว้สามารถทำได้ เข้ารหัสไฟล์หรืออุปกรณ์ และเรียกร้องค่าไถ่เป็นการตอบแทนในภายหลัง เป้าหมายคือการทำกำไรจากการโจมตีประเภทนี้ ในกรณีของ Pay2Key เราไม่พบข้อยกเว้น

ผู้โจมตี ขอค่าไถ่ เพื่อที่จะกลับมาควบคุมคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายที่ได้รับผลกระทบ เพื่อให้บรรลุสิ่งนี้พวกเขาใช้ ไมโครซอฟท์เครื่องมือ PsExec เพื่อเรียกใช้เพย์โหลด ransomware จากระยะไกลที่เรียกว่า Cobalt.Client.exe

เมื่อเรียกใช้ ransomware สำเร็จผู้โจมตีจะแสดงข้อความเรียกค่าไถ่ นั่นคือช่วงเวลาที่เหยื่อเห็นจำนวนเงินที่ต้องจ่ายและกระบวนการที่พวกเขาควรดำเนินการเพื่อให้ได้มาซึ่งการควบคุม

ransomware ใช้รูปแบบการเข้ารหัสไฮบริดแบบสมมาตรและไม่สมมาตรที่ใช้ อัลกอริทึม AES และ RSA ด้วยเซิร์ฟเวอร์ C2 ที่ส่งมอบคีย์สาธารณะ RSA ที่รันไทม์แสดงว่า Pay2Key จะไม่สามารถเข้ารหัสคอมพิวเตอร์ได้หากไม่มีการเชื่อมต่ออินเทอร์เน็ตหรือหากคำสั่งและเซิร์ฟเวอร์ควบคุมออฟไลน์

ตามที่นักวิจัยด้านความปลอดภัยที่ตรวจพบปัญหานี้แรนซัมแวร์นี้ได้รับการตรวจพบโดยเอ็นจิ้นการป้องกันมัลแวร์ VirusTotal อย่างน้อยก็ในขณะนี้ ซึ่งทำให้โปรแกรมป้องกันไวรัสของเราตรวจพบปัญหาได้ยาก

นี้จะทำให้ สามัญสำนึก อุปสรรคด้านความปลอดภัยหลักประการหนึ่ง เราต้องหลีกเลี่ยงข้อผิดพลาดที่อาจทำให้เราเสียหายเช่นการดาวน์โหลด อีเมล ไฟล์แนบที่อาจเป็นปัญหาเช่นเดียวกับความล้มเหลวเมื่อใช้อุปกรณ์

จำเป็นอย่างยิ่งที่เราต้องใช้มาตรการป้องกันแรนซัมแวร์เนื่องจากเราได้เห็นว่ามันเป็นภัยคุกคามที่อันตรายที่สุดอย่างหนึ่ง