צ'ק פוינט: כופרה איראנית חדשה פוגעת בחברות ישראליות

חברת צ'קפוינט חשפה היום (ה') כופרה חדשה אשר עקבותיה מובילים לאיראן. יוצרי הכופרה הצליחו לפגוע במספר חברות ישראליות ביניהן משרד עורכי דין מוביל וחברת הייטק הפועלת בתחום הגיימינג. החומרים על החברות הנפגעות זלגו בחלקן לדארקנט כחלק מפגיעת הכופרה. הכופר שאותו ביקשו התוקפים עמד על כ-7- 9 ביטקוין (נכון להיום כ-112 אלף דולר). חשוב לציין שהכופרה הזו היא כופרה חדשה ולא אותה אחת אשר פגעה לאחרונה בחברת טאואר או בחברת סאפיינס.

מומחי צ'ק פוינט קובעים שהחדירה לחברות בוצעה באמצעות מנגנון החיבור מרחוק של עובדים לרשת הארגונית "זן נוזקת כופר הינו מתוחכם ומהיר, המצפין רשתות ארגוניות שלמות בתוך כשעה, תוך איום להדלפת מידע רב השייך לארגונים המותקפים ברשת האפלה (Darknet), במידה ודמי הכופר לא ישולמו". בצ'ק פוינט מסרו כי בשלושה מקרים לפחות, ההאקרים אכן הדליפו מידע ששייך לארגונים המותקפים לרשת האפילה.

על פי הבדיקה שנעשתה במעבדות צ'ק פוינט ארבעה קורבנות ישראלים של חברת Pay2Key החליטו לשלם את הכופר, מה שאיפשר לחוקרים לעקוב אחר העברות הכספים בין ארנקי הביטקוין. בשיתוף פעולה עם חברת Whitestream חברת מודיעין ישראלית בתחום הבלוקצ'יין, החוקרים עקבו אחר רצף עסקאות הביטקוין שביצעו התוקפים ומצאו כי כולן מסתיימות בזירת מסחר בביטקוין איראנית בשם Excoino. המעקב החל בכתובות ארנקי ביטקוין שנמסרו לקורבנות על מנת שאליהם יעבירו את כופר הנדרש, המשיכה לארנק ביניים, ובסופו של דבר אל ארנקי קצה המשויכים ל-Excoino האיראנית.

Excoino היא ישות איראנית המספקת שירותי עסקאות מאובטחות של מטבעות קריפטוגרפיים לאזרחים איראנים בלבד. רישום יחייב את משתמש להיות בעל מספר טלפון איראני תקף תעודת זהות איראנית . הבורסה דורשת גם העתק של תעודת הזהות עצמה בכדי להעניק זכאות לביצוע העברות כספים. על סמך מסלול זה, החוקרים של צ'ק פוינט הגיעו למסקנה כי התוקפים שמאחורי Pay2Key הם ככל הנראה אזרחים ממוצא איראני.