האקרים איראנים עומדים מאחורי מתקפת כופר, Pay2Key שמה, נגד עשרות חברות ישראליות בשבוע שעבר – כך חשפה הבוקר (חמישי) חברת אבטחת הסייבר הישראלית צ'ק פוינט, בשיתוף פעולה עם חברת Whitestream חברת מודיעין ישראלית בתחום הבלוקצ'יין.
הכופר שאותו ביקשו התוקפים עמד על כ-9-7 ביטקוין (שווה ערך ל-375,000-475,000 שקלים). לדברי החברה, ארבעה קורבנות ישראלים החליטו לשלם את הכסף, וכך גילו כי מדובר בתשתית איראנית. החוקרים עקבו אחר רצף עסקאות הביטקוין שביצעו התוקפים ומצאו כי כולן מסתיימות בזירת מסחר בביטקוין איראנית בשם Excoino.
המעקב החל בכתובות ארנקי ביטקוין שנמסרו לקורבנות על מנת שאליהם יעבירו את כופר הנדרש, המשיכה לארנק ביניים, ובסופו של דבר אל ארנקי קצה המשויכים ל-Excoino האיראנית. מדובר בישות איראנית המספקת שירותי עסקאות מאובטחות של מטבעות קריפטוגרפיים לאזרחים איראנים בלבד.
רישום יחייב את משתמש להיות בעל מספר טלפון איראני תקף תעודת זהות איראנית / קוד מלי (کد ملی). הבורסה דורשת גם העתק של תעודת הזהות עצמה בכדי להעניק זכאות לביצוע העברות כספים. על סמך מסלול זה, החוקרים של צ'ק פוינט הגיעו למסקנה כי התוקפים שמאחורי Pay2Key הם ככל הנראה אזרחים ממוצא איראני.
בצ'ק פוינט מציינים כי כמו במתקפות הכופר המתקדמות בעולם, Pay2Key עושים שימוש בטקטיקת הסחיטה הכפולה בכדי להאיץ בקורבנות לשלם את הכופר – זו היא ההתפתחות האחרונה בארסנל התקפות הכופר. במודל הסחיטה הכפולה (Double Extortion), ההאקרים לא מסתפקים בהצפנת המידע ודרישת כופר עבור שחרורו, אלא גם מאיימים, ואף מקיימים, להדליף מידע שנגנב מהארגון, וזאת על מנת להאיץ את התשלום.
המפעילים של Pay2Key יצרו אתר ייעודי אליו הם מעלים תוכן רב של קורבנות שהחליטו שלא לשלם. עד כה, הקורבנות הלא משלמים של תקיפת הסחיטה הכפולה של Pay2Key הן 3 חברות ישראליות.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו