Selon les investigations de l’équipe de chercheurs CheckPoint au 12 Novembre dernier, de nouveaux indices pourraient permettre d’en apprendre davantage sur l’origine de ces deux ransomwares : depuis fin Juin dernier, les recherches autour de Pay2key notamment ont permis de mettre en lumière le pays d’origine potentiel d’origine, au détour d’un mouvement de e-transactions.
En effet, une fois la rançon versée, cette dernière part dans un compte de crypto-monnaie (bitcoin) : après de fines observations techniques, il s’avère que le mouvement pointe vers un porte-feuille (wallet) numérique sous Excoino. Il s’agit d’une entreprise basée en Iran et qui s’occupe de la gestion de transactions de crypto-monnaies pour toute personne située dans le pays : un point irréfutable du fait que l’utilisation du service requiert obligatoirement un numéro de téléphone et “code ID / Melli” local ; d’où la supposition de l’équipe. Il peut aussi s’agir, en aparté, d’une personne ou entreprise intermédiaire (indépendant à son compte, par exemple) qui réside en Iran mais qui re-transmet les rondelettes sommes à d’autres destinataires ou, alors, aux personnes finales.
Great writeup by @_CPResearch_ on “Pay2Key” #Ransomware. Can confirm 3 unique businesses in Israel submitted to ID Ransomware in the past week.https://t.co/OcFZ9Wrxs1 pic.twitter.com/XYhJl4JzEV
— Michael Gillespie (@demonslay335) November 6, 2020
Bon nombre d’entreprises Israéliennes ont été touchés depuis le 26 Octobre 2020 : le vecteur prend son sein depuis un outil ou protocole de type RDP via le port 5050, par exemple, depuis le client Cobalte (exe)… A veiller !
Source : CheckPoint – 12 Novembre 2020 – Pay2Key : les cyber-attaquants du ransomware seraient basés en Iran.