上周,checkpoint研究人员发布了关于新出现的勒索软件 Pay2Key 攻击的预警信息。随后,研究人员进行了进一步调查,发现勒索软件攻击的目标主要是以色列公司。勒索软件会在受害者网络中快速传播,网络中大部分都会被加密,并留下勒索信息,威胁不支付赎金就泄露窃取的公司数据。
有多家公司都选择支付了赎金,因此可以通过赎金来追踪攻击活动背后的攻击者。研究人员与区块链情报公司Whitestream 联合分析发现支付的赎金比特币都流向了一家伊朗的比特币交易所。
虽然大多数公司位于以色列,但Swascan 研究人员发现有受害者位于欧洲。
图 1: Pay2Key 加密的其他目标
Double Extortion
Double Extortion是近期勒索软件攻击的一种新趋势,即威胁泄露从受害者网络中窃取的数据来迫使受害者支付赎金。Pay2Key 运营者也使用了这一技巧。
图 2: Pay2Key 威胁泄露受害者数据
Pay2Key 作者启用了一个新的Onion 网站,准备分享那些不愿意支付赎金的Pay2Key 受害者的数据。
图 3: Pay2Key 计划用于分享泄露数据的站点
目前,没有支付赎金的受害者是3家以色列公司。每家受害者公司泄露的数据都被上传到该网站的一个指定的文件夹中,以及攻击者留下的信息。信息中有关于受害者数字资产的敏感信息,包括域名、 服务器 、备份的细节。
图 4: 为一家法律公司定制的数据泄露信息
图 5: 督促游戏开发公司支付赎金的更新信息
赎金流分析
根据目前的数据,至少有4家受害者公司支付的赎金。在Whitestream 公司的协助下,研究人员对勒索赎金使用的比特币进行了追踪,发现了一家名为Excoino 的伊朗加密货币交易所。
图 6: 受害者与目标交易所之间的比特币交易流
交易流从支付勒索赎金的比特币钱包开始。受害者向勒索信中的钱包地址支付后,攻击者就会立刻将钱转到一个即时钱包中,该钱包在许多受害者的勒索支付中都使用过。然后,比特币会被转移到一个与high activity cluster相关的最终的钱包地址。high activity cluster一般是与比特币市场相关的金融实体相关的组织,一般来说是交易所。
为了验证最终的钱包地址和Excoino 交易所的关系,研究人员使用WalletExplorer 服务和一个已知的Excoino 钱包地址。
图 7:在YouTube教程上找到的与Excoino 交易所相关的比特币去钱包
研究人员分析图7中的比特币地址以及最终的钱包地址,发现cluster id [00045af14c] 是相同的。
图 8: 已知的Excoino 钱包
图 9: 与攻击活动相关的一系列交易中的最终钱包
Excoino是一家为伊朗人民提供安全加密货币交易服务的伊朗公司。注册需要用户持有有效的伊朗手机号码和ID/Melli code (کد ملی)。要在交易所交易,也需要提供ID。
根据规定,Excoino称所有可疑的交易都会报告给伊朗网络警察FATA进行下一步调查。
这表明,最终钱包的所有者可能是伊朗人,也可能是以色列Pay2Key勒索攻击活动背后的攻击者。
总结
Pay2Key是一起主要攻击以色列的勒索软件攻击活动。攻击中使用了double extortion 技巧,迫使受害者支付赎金。研究人员通过支付的比特币赎金进行溯源,发现勒索赎金流向了一家伊朗加密货币交易所,这表明该起攻击活动背后的攻击者应该是伊朗人。
利比亚是北非的还是属于中东?
利比亚是北非国家,这是地理位置。 确切来讲,中东不算一个地理位置。 由于当年的英帝国称霸全球,被称为日不落的国家,他们就以英国为座标,把亚洲国家称为近东、中东、远东,所以,像沙特、巴列斯坦、叙利亚、伊朗、科委特、伊拉克、黎巴嫩等亚洲国家称为中东,由于埃及、利比亚等国和中东连为一体,又是盛产石油的国家,就都被称为中东国家。
DRM权限表是什么意思?
DRM,英文全称Digital Rights Management, 可以翻译为:内容数字版权加密保护技术。 于数字化信息的特点决定了必须有另一种独特的技术,来加强保护这些数字化的音视频节目内容的版权,该技术就是数字权限管理技术---DRM(digital right management)。 DRM技术的工作原理是,首先建立数字节目授权中心,编码压缩后的数字节目内容,利用密钥(Key)可以被加密保护(lock),加密的数字节目头部存放着KeyID和节目授权中心的URL。 用户在点播时,根据节目头部的KeyID和URL信息,就可以通过数字节目授权中心的验证授权后送出相关的密钥解密(unlock),节目方可播放。 需要保护的节目被加密,即使被用户下载保存,没有得到数字节目授权中心的验证授权也无法播放,从而严密地保护了节目的版权。 密钥一般有两把,一把公钥(public key),一把私钥(private key)。 公钥用于加密节目内容本身,私钥用于解密节目,私钥还可以防止当节目头部有被改动或破坏的情况,利用密钥就可以判断出来,从而阻止节目被非法使用。 上述这种加密的方法,有一个明显的缺陷,就是当解密的密钥在发送给用户时,一旦被黑客获得密钥,即可方便解密节目,从而不能真正确保节目内容提供商的实际版权利益。 另一种更加安全的加密方法是使用三把密钥,即把密钥分成两把,一把存放在用户的Pc机上,另一把放在验证站(access ticket)。 要解密数字节目,必须同时具备这两把密钥,方能解开数字节目。 毫无疑问,加密保护技术在开发电子商务系统中正起着重要的防盗版作用。 比如,在互联网上传输音乐或视频节目等内容,这些内容很容易被拷贝复制。 为了避免这些风险,节目内容在互联网上传输过程中一般都要经过加密保护。 也就是说,收到加密的数字节目的人必须有一把密钥(key)才能打开数字节目并播放收看。 因此,传送密钥的工作必须紧跟在加密节目传输之后。 对内容提供商而言,必须意识到传送密钥工作的重要性,要严防密钥在传送时被窃取。 互联网上的黑客总是喜欢钻这些漏洞。 因此我们需要一种安全的严密的方式传送密钥,以保证全面实现安全保护机制。 现在市场上比较多应用的是微软的 DRM 技术.
瑞星序列号生成器
瑞星序列号生成器 可以保护用户电脑,使其不受黑客攻击,该软件内嵌“木马墙”技术,彻底解决账号、密码丢失问题。 国内著名的专业流氓软件清除工具,用户超过3000万,可以彻底清除400余种流氓软件,使电脑运行更快更稳定。 瑞星序列号生成器地址:
发表评论