به گزارش گرداب،این باج افزار گرچه در حملات علیه چندین نهاد برزیلی استفاده می شود، مربوط به حملات دیروز RansomExx نیست که شبکه های دولتی برزیل را هدف قرار می دهد.

در گزارش جدید Check Point، محققان می گویند عوامل تهدید کننده باج افزار Pay۲Key احتمالاً از پروتکل دسک تاپ از راه دور (RDP) در معرض دسترس عمومی برای دسترسی به شبکه های قربانیان و استقرار payload مخرب اولیه استفاده می کنند. 

در حالی که اپراتورهای Pay۲Key قبل از شروع رمزگذاری سیستم های باج افزار در شبکه های مورد نظر نفوذ کرده و در آنها فعال هستند ، آنها "توانایی انجام حرکت سریع گسترش باج افزار را در عرض یک ساعت به کل شبکه دارند".

پس از ورود به شبکه یک قربانی، مهاجمان یک دستگاه محوری را راه اندازی می کنند که به عنوان پروکسی برای تمام ارتباطات خروجی بین رایانه های آلوده به باج افزار و سرورهای فرمان و کنترل (Pay۲Key (C۲ استفاده می شود.

این موضوع به آنها کمک می کند تا قبل از رمزگذاری همه سیستم های قابل دسترسی در شبکه با استفاده از یک دستگاه واحد برای برقراری ارتباط با زیرساخت های خاص خود، آن را ردیابی کنند یا حداقل ریسک آنها را کاهش دهند.

درست همانطور که در مورد سایر عملیات باج افزارهای عامل انسانی ، بازیگران Pay۲Key از ابزار قابل حمل PsExec مایکروسافت برای اجرای از راه دور بارهای باج افزار با نام Cobalt.Client.exe در دستگاه های شبکه سازمان های هدف استفاده می کنند.

به دنبال رمزگذاری موفقیت آمیز دستگاه، باج افزار یک یادداشت باج در سیستم می اندازد، که برای هر سازمان در معرض خطر سفارشی است و از نام [ORGANIZATION] _MESSAGE.TXT استفاده می شود.

در یادداشت باج همچنین ذکر شده است که برخی از پرونده های قربانیان در طی حملات به سرقت رفته اما هنوز Check Point اثبات این اتفاق را پیدا نکرده است.

اپراتورهای Pay۲Key در حال حاضر باج های نسبتاً کمی را درخواست می کنند، Check Point مشاهده کرده که برای هر قربانی بین ۷ تا ۹ بیت کوین (تقریباً ۱۱۰ تا ۱۴۰ هزار دلار) طلب می کنند. BleepingComputer تقاضای باج تا ۴ بیت کوین (حدود ۶۲ هزار دلار) را دیده است.

این باج افزار بر اساس کد گونه های قبلاً شناسایی نشده است و نمونه های Pay۲Key هنگام ارسال به VirusTotal تنها توسط یک موتور ضد بدافزار شناسایی شده اند.

به نظر می رسد Pay۲Key توسط توسعه دهندگانی که بومی انگلیسی زبان نیستند با توجه به رشته ها و فرم ورود به سیستم، "Cobalt" نامیده می شود.

این باج افزار از ترکیبی از برنامه رمزگذاری متقارن و نامتقارن استفاده می کند که الگوریتم های AES و RSA را با سرور C۲ به کار می گیرد که در زمان اجرا کلید عمومی RSA را تحویل می دهد که نشان می دهد Pay۲Key در رمزگذاری ماشین ها بدون اتصال به اینترنت یا C۲ شکست خواهد خورد.

محققان Check Point نتیجه گیری کردند: "در حالی که حمله هنوز تحت بررسی است ، حملات اخیر باج افزار Pay۲Key نشان می دهد که یک عامل تهدید جدید در حال پیوستن به روند حملات باج افزار هدفمند است".