Оферта за отстъпка за множество лицензи
База данни за заплахи Ransomware Рансъмуер Pay2Key.I2P

Рансъмуер Pay2Key.I2P

До Mezo през Ransomware, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Вследствие на ескалиращото напрежение между Иран, Израел и САЩ, отново се появи сложна операция „Ransomware-as-a-Service“ (RaaS), наречена Pay2Key.I2P. Подкрепена от ирански интереси, тази финансово мотивирана, но идеологически обусловена кампания предлага повишени стимули за киберпрестъпниците, насочени към Израел и Съединените щати. Обновеният вариант въведе нови инфраструктурни тактики и разшири възможностите си за атака, което бележи обезпокоителна еволюция в пейзажа на ransomware.

Позната заплаха с ново лице

Първоначално свързан с атаки през октомври 2020 г., Pay2Key отдавна е свързван с операции, спонсорирани от иранската държава. Смята се, че най-новото му въплъщение, Pay2Key.I2P, е свързано с Fox Kitten (известен също като Lemon Sandstorm), известна група за усъвършенствани постоянни заплахи (APT). Забележително е, че се смята, че тази кампания използва или включва функции от рансъмуер вируса Mimic, което допринася за неговата сложност.

Обновеният модел RaaS вече предлага 80% дял от печалбата, което е увеличение спрямо предишните 70%, по-специално за филиали, обвързани с иранските интереси или такива, които са готови да извършват атаки срещу противниците на Иран. Тази промяна демонстрира ясна смесица от финансови и идеологически мотиви.

Възходът на I2P-базираната RaaS платформа

Това, което отличава Pay2Key.I2P, е използването на Invisible Internet Project (I2P) за хостване на цялата му инфраструктура. Докато някои семейства зловреден софтуер са използвали I2P за функции за командване и контрол (C2), Pay2Key.I2P е първата известна RaaS операция, която работи изцяло в тази анонимизирана мрежа. Това добавя слой скритост и устойчивост, което усложнява усилията за премахване от страна на правоохранителните органи.

През февруари 2025 г. групата е извършила над 51 успешни плащания за откуп, генерирайки общи приходи от над 4 милиона долара, като отделните оператори са спечелили до 100 000 долара. Тези числа подчертават мащаба и успеха на операцията в кратки срокове.

Особено забележително събитие се случи на 20 февруари 2025 г., когато потребител на тъмната мрежа, използващ псевдонима „Isreactive“, рекламира рансъмуер софтуера в руски форум за киберпрестъпления. Публикацията позволяваше на всеки да инсталира двоичния файл срещу изплащане от 20 000 долара за успешна атака, което доведе до промяна в динамиката на RaaS, като позволи по-широко участие и по-голямо улавяне на приходи за разработчиците.

Технически подобрения и стелт възможности

Pay2Key.I2P демонстрира постоянно усъвършенстване, като конструкторът на ransomware придобива възможности за насочване към Linux от юни 2025 г. Вариантът му за Windows се разпространява като изпълним файл в саморазархивиращ се (SFX) архив, използвайки усъвършенствани техники за заобикаляне на откриването.

Някои ключови характеристики включват:

  • Деактивиране на Microsoft Defender Antivirus по време на изпълнение
  • Изтриване на злонамерени артефакти за намаляване на криминалистичния отпечатък

Използване на прикрити полезни товари, като например изпълними файлове, маскирани като документи на Microsoft Word, които след това задействат cmd скриптове, за да започнат процеса на криптиране и да изпратят писма с искане за откуп.

Тези скрити поведения правят откриването и отстраняването на щети значително по-трудни за защитниците.

По-широк пейзаж на заплахите и стратегически последици

Pay2Key.I2P е нещо повече от престъпно начинание; то представлява фронт за кибервойна, съобразен с интересите на иранската държава. Неговите идеологически основи са очевидни чрез целенасочените стимули за изплащане и стратегическия подбор на жертвите.

Тази заплаха се разгръща на фона на засилено геополитическо напрежение. След американските въздушни удари по ирански ядрени съоръжения, американските разузнавателни агенции издадоха предупреждения за възможни ответни кибератаки. Между май и юни 2025 г. изследователи регистрираха 28 кибератаки, приписвани на Иран, насочени предимно към транспортния и производствения сектор на САЩ.

Видни ирански APT групи, стоящи зад тези кампании, включват:

  • Кална вода
  • APT33
  • Нефтена платформа
  • Кибер отмъстители
  • Лисиче коте
  • Правосъдие на родината

Тези участници все по-често атакуват индустриална и критична инфраструктура както в САЩ, така и в съюзническите държави, което подчертава неотложната необходимост от подобрена киберсигурност.

Заключение: Подгответе се за променяща се заплаха

Pay2Key.I2P е сурово напомняне за това как заплахите от ransomware се развиват в инструменти за геополитическо влияние и кибервойна. С техническа сложност, високи партньорски награди и идеологически мотиви, тази кампания не е само за пари, а за власт и смущения. Организациите, особено тези в критични сектори, трябва да останат бдителни, да гарантират, че системните уязвимости са отстранени, и да прилагат проактивни защитни стратегии за борба с тази нововъзникваща заплаха.

Тенденция

Търсене Начало Търсене Раздел

Потенциално нежелани програми, Похитители на браузъри
Потенциално нежеланите програми (PUP) остават сериозна заплаха за онлайн безопасността и поверителността на потребителите. Често измамно предлагани на пазара като полезни инструменти, тези програми...

Най-гледан

Зареждане...