Pay2Key et Wannascream : de nouveaux indices confirmeraient que les cyber-attaquants derrière les ransomwares seraient en Iran !

Selon les investigations de l’équipe de chercheurs CheckPoint au 12 Novembre dernier, de nouveaux indices pourraient permettre d’en apprendre davantage sur l’origine de ces deux ransomwares : depuis fin Juin dernier, les recherches autour de Pay2key notamment ont permis de mettre en lumière le pays d’origine potentiel d’origine, au détour d’un mouvement de e-transactions.

En effet, une fois la rançon versée, cette dernière part dans un compte de crypto-monnaie (bitcoin) : après de fines observations techniques, il s’avère que le mouvement pointe vers un porte-feuille (wallet) numérique sous Excoino. Il s’agit d’une entreprise basée en Iran et qui s’occupe de la gestion de transactions de crypto-monnaies pour toute personne située dans le pays : un point irréfutable du fait que l’utilisation du service requiert obligatoirement un numéro de téléphone et “code ID / Melli” local ; d’où la supposition de l’équipe. Il peut aussi s’agir, en aparté, d’une personne ou entreprise intermédiaire (indépendant à son compte, par exemple) qui réside en Iran mais qui re-transmet les rondelettes sommes à d’autres destinataires ou, alors, aux personnes finales.

Great writeup by @_CPResearch_ on “Pay2Key” #Ransomware. Can confirm 3 unique businesses in Israel submitted to ID Ransomware in the past week.https://t.co/OcFZ9Wrxs1 pic.twitter.com/XYhJl4JzEV

— Michael Gillespie (@demonslay335) November 6, 2020

Bon nombre d’entreprises Israéliennes ont été touchés depuis le 26 Octobre 2020 : le vecteur prend son sein depuis un outil ou protocole de type RDP via le port 5050, par exemple, depuis le client Cobalte (exe)… A veiller !

Source : CheckPoint – 12 Novembre 2020 – Pay2Key : les cyber-attaquants du ransomware seraient basés en Iran.

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message