צ'ק פוינט: כופרה איראנית חדשה פוגעת בחברות ישראליות
יוצרי הכופרה הצליחו לפגוע במספר חברות ישראליות ביניהן משרד עורכי דין מוביל וחברת הייטק הפועלת בתחום הגיימינג ולדרוש כופר בסך 112 אלף דולר. לפי המומחים בצ'ק פוינט, החדירה לחברות בוצעה באמצעות מנגנון החיבור מרחוק של העובדים לרשת הארגונית
- פייסבוק הסירה מאות עמודים שפעלו מאיראן וניסו להשפיע על דעת הקהל בישראל
- משרד המשפטים האמריקאי השתלט על אתרים איראנים שהפיצו פייק ניוז על ישראל
- כשאיראן משיגה את כתובת המייל שלך שום גוף ביון לא יכול לעצור אותה
מומחי צ'ק פוינט קובעים שהחדירה לחברות בוצעה באמצעות מנגנון החיבור מרחוק של עובדים לרשת הארגונית "זן נוזקת כופר הינו מתוחכם ומהיר, המצפין רשתות ארגוניות שלמות בתוך כשעה, תוך איום להדלפת מידע רב השייך לארגונים המותקפים ברשת האפלה (Darknet), במידה ודמי הכופר לא ישולמו". בצ'ק פוינט מסרו כי בשלושה מקרים לפחות, ההאקרים אכן הדליפו מידע ששייך לארגונים המותקפים לרשת האפילה.
על פי הבדיקה שנעשתה במעבדות צ'ק פוינט ארבעה קורבנות ישראלים של חברת Pay2Key החליטו לשלם את הכופר, מה שאיפשר לחוקרים לעקוב אחר העברות הכספים בין ארנקי הביטקוין. בשיתוף פעולה עם חברת Whitestream חברת מודיעין ישראלית בתחום הבלוקצ'יין, החוקרים עקבו אחר רצף עסקאות הביטקוין שביצעו התוקפים ומצאו כי כולן מסתיימות בזירת מסחר בביטקוין איראנית בשם Excoino. המעקב החל בכתובות ארנקי ביטקוין שנמסרו לקורבנות על מנת שאליהם יעבירו את כופר הנדרש, המשיכה לארנק ביניים, ובסופו של דבר אל ארנקי קצה המשויכים ל-Excoino האיראנית.
Excoino היא ישות איראנית המספקת שירותי עסקאות מאובטחות של מטבעות קריפטוגרפיים לאזרחים איראנים בלבד. רישום יחייב את משתמש להיות בעל מספר טלפון איראני תקף תעודת זהות איראנית . הבורסה דורשת גם העתק של תעודת הזהות עצמה בכדי להעניק זכאות לביצוע העברות כספים. על סמך מסלול זה, החוקרים של צ'ק פוינט הגיעו למסקנה כי התוקפים שמאחורי Pay2Key הם ככל הנראה אזרחים ממוצא איראני.