Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Pay2Key Ransomware verschlüsselt Netzwerke innerhalb einer Stunde!

M.Sc. Chris Wojzechowski

Ransomware ist allgemein eine große Bedrohung für Unternehmen, die auch stetig teurer wird, mehr Zeit nach einem Befall in Anspruch – und im Speziellen ist pay2key ein Trojaner, der das Netzwerk innerhalb einer Stunden verschlüsseln kann. Aktuell wütet die Ransomware vor allem in Israel und Brasilien. Doch Unternehmen in Deutschland werden von dieser Welle nicht verschont bleiben.


Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter

Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.

Kostenfrei. Jetzt anfordern



Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Einstiegstor für Pay2Key ist das Remote Desktop Protocol

Bereits viele andere Verschlüsselungstrojaner setzen auf die Verwendung des RDP Protokolls um einen Einstieg ins Unternehmen zu finden. Zahlreiche Firmen wurden so bereits zum Opfer einer Kampagne. Einmal infiziert wird von Pay2Key ein Proxy im befallenen Netzwerk eingerichtet. Eine gute Strategie – zumindest aus der Sicht der Angreifer. So wird die Entdeckung der Ransomware im Netzwerk erschwert. Für die Verhinderung der Ausbreitung des Trojaners sind jedoch sehr schnelle Teams nötig.

Pay2Key verschlüsselt Netzwerke außergewöhnlich schnell. Innerhalb von einer Stunde gelingt es dem Trojaner das ganze Netzwerk zu befallen. Standardmäßig erscheint im Anschluss an die erfolgte Verschlüsselung eine Notiz mit den Randbedingungen zur Entschlüsselung der Daten.

Die pay2key Ransomware Mitteilung
Die pay2key Ransomware Mitteilung im Detail. Quelle: bleepingcomputer.com

Das geforderte Lösegeld bewegt sich noch in relativ geringen Bereichen. So wurden Forderungen im Bereich von 7 – 9 Bitcoins gesichtet. Die niedrigste Forderung wurde von bleepingcomputer entdeckt und ist „nur“ 4 Bitcoins und damit ca. 62.000 USD wert.

Pay2Key ist kein Unbekannter. Die jetzt entdeckte Version basiert nicht auf den vorherigen Sichtungen. Ein Blick in die Strings und Logs lässt vermuten, dass die Entwickler der Software keine Englisch native Speaker sind. Intern wird die Ransomware Cobalt genannt. Das deckt sich auch mit der Benennung der Payload: Cobald.Client.exe

Die Schadsoftware ist auf schnellen und umfangreichen Schaden ausgelegt. Die Struktur zur Verteilung er RSA und AES Schlüssel zeigt aber auch, dass die Geräte die nicht mit dem Internet verbunden sind, auch nicht verschlüsselt werden bzw. die Verschlüsselung fehlschlägt. Sind die C2 im Falle einer Infizierung ebenfalls offline, hat man ebenfalls Glück – Geräte werden dann nicht verschlüsselt. Beides gehört jedoch zur Ausnahme.

Daher sollten frühzeitig Maßnahmen ergriffen werden um Ransomware nicht nur zu verhindern, sondern auch eine erfolgreiche Infizierung möglichst schnell zu erkennen und zu widerrufen. In diesem Fall ist nicht davon auszugehen, dass die Daten vor der Verschlüsselung heruntergeladen werden.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.