Europäische und israelische Unternehmen waren das Ziel eines neuartigen Lösegeldangriffs namens Pay2Key. Mindestens vier Unternehmen haben das geforderte Lösegeld bereits in Form von Bitcoin Circuit gezahlt.

Eine Gruppe von Forschern hat eine neue Art von Lösegeldanschlag namens Pay2Key entdeckt, der gegen mehrere israelische und europäische Unternehmen ausgeführt wurde. Die Täter forderten das Lösegeld in Form von Bitcoins, die von den Forschern zu einer iranischen Krypto-Währungszentrale gebracht wurden.

Ein neuer Lösegeld-Angriff auf israelische und europäische Firmen

Die aktualisierte Untersuchung des Cybersicherheitsunternehmens CheckPoint zeigt mehrere Fälle auf, in denen sich in Israel ansässige Firmen in den vergangenen Wochen über Angriffe beschwert haben. Sie alle berichteten, dass sich diese Lösegeldforderung schnell in ihren Netzwerken verbreitet habe, während die meisten Teile verschlüsselt blieben, zusammen mit einer Lösegeldforderung, die droht, gestohlene Unternehmensdaten durchsickern zu lassen, wenn das Opfer nicht eine Forderung bezahlt.

Obwohl der so genannte Pay2Key-Angriff zunächst nur israelische Unternehmen im Visier hatte, tauchten neue Berichte auf, die behaupten, dass zumindest einige europäische Länder ebenfalls Opfer geworden sind.

Die Untersuchung ergab, dass einige der Unternehmen beschlossen, das Lösegeld nicht zu zahlen. Die Täter standen zu ihrem Wort und veröffentlichten ihre Informationen online.

Zu diesem Zweck erstellten sie eine neue Website von Onion und fügten für jedes der Opfer bestimmte Ordner ein. Bislang gab es drei Mappen mit Angaben zu den Firmen – alles israelische Unternehmen.

Die Bitcoin-Spur deutet auf eine iranische Beteiligung hin

Wie bereits erwähnt, verlangten die unbekannten Angreifer, dass die Forderung in Bitmünzen bezahlt wird. Jede Lösegeldforderung, die an die Opfer geschickt wurde, enthielt eine Bitcoin-Adresse, an die die Opfer die Gelder schicken mussten. Laut CheckPoint entschieden sich mindestens vier Opfer zur Zahlung.

Da der transparente Charakter der BTC-Blockkette alle Transaktionen speichert, konnten die Forscher die Zahlungen verfolgen. Sie sahen, dass alle Transaktionen an einer Adresse landeten. Von diesem Zeitpunkt an wurden die Gelder in eine Brieftasche mit hoher Aktivität umgeleitet, die typischerweise mit dem Umtausch von Krypto-Währungen verbunden ist.

Darüber hinaus verglichen und verifizierten die Forscher, dass diese letzte Brieftasche zu einer iranischen Digital Asset Plattform mit dem Namen Excoino gehörte.

Für den Fall, dass Excoino-Benutzer Geld abheben möchten, müssen sie eine gültige iranische Telefonnummer, einen ID-/Melli-Code und eine Kopie des Ausweises vorlegen. In den Geschäftsbedingungen des Austauschs heißt es außerdem, dass die erste Transaktion (oder verdächtige Transaktionen) der iranischen Cyberpolizei (FATA) zur weiteren Untersuchung gemeldet wird.

Folglich kamen die Forscher zu dem Schluss, dass die Besitzer der letzten Brieftasche iranische Staatsbürger sein könnten, „die höchstwahrscheinlich hinter dem Pay2Key-Angriff auf israelische Unternehmen in der vergangenen Woche stehen“.

Read More