"בחודשים האחרונים ניכרת עלייה עולמית במתקפות הכופרה (50% עלייה במתקפות ברבעון ה-3 של השנה ברחבי העולם, נתון זה רלוונטי גם לישראל)", מסרו בצ'ק פויינט תוך כדי שהם מודיעים על תקיפת כופרה חדשה מסוגה, שתקפה מטרות בישראל (ומאז גם אחת באיטליה) לפני שבועיים. "מעבר לעובדה שמדובר בסוג חדש של כופרה (מהירה ושקטה במיוחד), בחינה אחר נתיב הכסף הובילה את החוקרים שלנו להאקרים ממוצא אירני שפועלים בזירת מסחר ביטקוין אירנית אשר מחייבת את משתמשיה להחזיק במספר", כתבו.
ארבעה קורבנות ישראלים של Pay2Key החליטו לשלם את הכופר, מה שאיפשר לחוקרי צ'ק פוינט אפשרות לעקוב אחר העברות הכספים בין ארנקי הביטקוין. בשיתוף פעולה עם חברת Whitestream חברת מודיעין ישראלית בתחום הבלוקצ'יין, החוקרים עקבו אחר רצף עסקאות הביטקוין שביצעו התוקפים ומצאו כי כולן מסתיימות בזירת מסחר בביטקוין איראנית בשם Excoino. המעקב החל בכתובות ארנקי ביטקוין שנמסרו לקורבנות על מנת שאליהם יעבירו את כופר הנדרש, המשיכה לארנק ביניים, ובסופו של דבר אל ארנקי קצה המשויכים ל- Excoino האיראנית.
Excoino היא ישות איראנית המספקת שירותי עסקאות מאובטחות של מטבעות קריפטוגרפיים לאזרחים איראנים בלבד. רישום יחייב את משתמש להיות בעל מספר טלפון איראני תקף תעודת זהות איראנית / קוד מלי (کد ملی). הבורסה דורשת גם העתק של תעודת הזהות עצמה בכדי להעניק זכאות לביצוע העברות כספים. על סמך מסלול זה, החוקרים של צ'ק פוינט הגיעו למסקנה כי התוקפים שמאחורי Pay2Key הם ככל הנראה אזרחים ממוצא איראני.
שימוש בסחיטה כפולה "Double Extortion"
כמו במתקפות הכופר המתקדמות בעולם, Pay2Key עושים שימוש בטקטיקת הסחיטה הכפולה בכדי להאיץ בקורבנות לשלם את הכופר - זו היא ההתפתחות האחרונה בארסנל התקפות הכופר. במודל הסחיטה הכפולה (Double Extortion), ההאקרים לא מסתפקים בהצפנת המידע ודרישת כופר עבור שחרורו, אלא גם מאיימים, ואף מקיימים, להדליף מידע שנגנב מהארגון, וזאת על מנת להאיץ את התשלום. המפעילים של Pay2Key יצרו אתר ייעודי אליו הם מעלים תוכן רב של קורבנות שהחליטו שלא לשלם. עד כה, הקורבנות הלא משלמים של תקיפת הסחיטה הכפולה של Pay2Key הן 3 חברות ישראליות.
כך השיטה עבדה
מניתוח המתקפות שבצעה קבוצת Pay2Key עד כה, נראה כי נקודת הכניסה אל הארגונים המותקפים הייתה דרך פרוטוקול הגישה מרחוק RDP. על מנת שלמזער את החשיפה, התוקפים ממנים את אחד המחשבים המודבקים ברשת לנציג (פרוקסי), ומעתה ואילך כלל מחשבי הארגון המודבקים מתקשרים עם הפרוקסי, ורק הוא מתקשר עם התוקפים. מעין רשת היררכית שכזו. דבר זה מפחית את החתימה שמתקפה שכזו יכולה ליצור.