Os criadores do Pay2Key conseguiram desenvolver uma técnica que encripta os dados em menos de uma hora e que depois recorre a dupla extorsão exigindo pagamento para os desencriptar e outro montante para não os divulgar publicamente. Esta operação de ransomware terá origem no Irão, de acordo com os investigadores, e está a ser encetada contra empresas israelitas e algumas europeias.
O alerta sobre o perigo do Pay2Key incide precisamente sobre a sua velocidade de atuação, uma vez que em menos de uma hora a informação pode ficar toda encriptada e nas mãos dos piratas. A Check Point adverte ainda que há a possibilidade de a cadeia escalar globalmente. Quatro das vítimas decidiram cooperar e pagar o resgate, permitindo aos investigadores identificar a localização do pagamento, em cooperação com a Whitestream, uma empresa de inteligência blockchain. O fluxo de transações começa com wallets de bitcoin encontradas nas notas de resgate, passa por wallets intermédias e depois chega à wallet final associada à Excoino, uma criptomoeda iraniana. Esta entidade iraniana fornece serviços de transação de criptomoeda em segurança, destinados unicamente a cidadãos iranianos e exigindo um número de telefone iraniano válido e um código de identificação do país.
Os hackers chegaram a criar um website para a divulgação dos dados das suas vítimas que optassem por não ceder ao ataque de dupla exotrsão. Entre as vítimas que não pagaram, há registo de três empresas israelitas.
O ponto de entrada inicial de todas as intrusões parece estar assegurado, ineficazmente, por serviços RDP (de Remote Desktop Protocol) e, uma vez dentro da rede da vítima, os atacantes configuram um dispositivo pivot que servirá de proxy para todas as comunicações entre computadores infetados com ransomware e os servidores command and control da Pay2Key. Os resgates exigidos são de sete a nove bitcoins, o equivalente a 110 mil a 140 mil dólares, sensivelmente.
As recomendações para se manter em segurança passam por adotar estratégias de patching, aquisição de um sistema de prevenção de intrusão (ISP) que detete falhas ou tentativas de exploração de falhas ou vulnerabilidades, instalação de anti-ransomware e de uma solução de segurança endpoint completa que identifique os comportamentos típicos de ransomware.
