Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Ransomware Pay2Key.I2P

Ransomware Pay2Key.I2P

El Mezo el Ransomware, Amenaça persistent avançada (APT)
Traduir a:

Arran de l'escalada de tensions entre l'Iran, Israel i els EUA, ha ressorgit una sofisticada operació de ransomware com a servei (RaaS) anomenada Pay2Key.I2P. Amb el suport d'interessos iranians, aquesta campanya amb motivacions financeres però ideològiques ofereix més incentius per als ciberdelinqüents que ataquen Israel i els EUA. La variant actualitzada ha introduït noves tàctiques d'infraestructura i ha ampliat les seves capacitats d'objectiu, marcant una evolució preocupant en el panorama del ransomware.

Una amenaça familiar amb una cara nova

Vinculat per primera vegada a atacs a l'octubre del 2020, Pay2Key ha estat associat durant molt de temps amb operacions patrocinades per l'estat iranià. Es creu que la seva última encarnació, Pay2Key.I2P, està connectada amb Fox Kitten (també conegut com a Lemon Sandstorm), un conegut grup d'amenaces persistents avançades (APT). Cal destacar que es creu que aquesta campanya aprofita o incorpora funcions del ransomware Mimic, cosa que augmenta la seva sofisticació.

El model RaaS actualitzat ara ofereix una participació en els beneficis del 80%, un augment respecte al 70% anterior, específicament a afiliats alineats amb interessos iranians o aquells disposats a dur a terme atacs contra els adversaris de l'Iran. Aquest canvi demostra una clara barreja de motivacions financeres i ideològiques.

L’auge de la plataforma RaaS basada en I2P

El que diferencia Pay2Key.I2P és l'ús del Projecte Internet Invisible (I2P) per allotjar tota la seva infraestructura. Mentre que algunes famílies de programari maliciós han utilitzat I2P per a funcions de comandament i control (C2), Pay2Key.I2P és la primera operació RaaS coneguda que s'executa completament dins d'aquesta xarxa anonimitzada. Això afegeix una capa de furt i resiliència que complica els esforços d'eliminació per part de les forces de l'ordre.

El febrer de 2025, el grup va reclamar més de 51 pagaments de rescat amb èxit, generant més de 4 milions de dòlars en ingressos totals, amb operadors individuals que van arribar a guanyar fins a 100.000 dòlars. Aquestes xifres subratllen l'abast i l'èxit de l'operació en un curt període de temps.

Un esdeveniment particularment destacable va tenir lloc el 20 de febrer de 2025, quan un usuari de la darknet que es feia servir l'àlies "Isreactive" va anunciar el ransomware en un fòrum rus de ciberdelinqüència. La publicació permetia a qualsevol persona implementar el binari per un pagament de 20.000 dòlars per cada atac reeixit, cosa que va marcar el començament d'un canvi en la dinàmica RaaS en permetre una participació més àmplia i una major captura d'ingressos per als desenvolupadors.

Avenços tècnics i capacitats furtives

Pay2Key.I2P demostra un refinament constant, i el creador de ransomware va obtenir capacitats de focalització per a Linux a partir del juny de 2025. La seva variant per a Windows es distribueix com a executable dins d'un arxiu autoextraïble (SFX), utilitzant tècniques avançades per evitar la detecció.

Algunes característiques clau inclouen:

  • Desactivació de l'antivirus de Microsoft Defender durant l'execució
  • Esborrar artefactes maliciosos per reduir la petjada forense

Ús de càrregues útils disfressades, com ara fitxers executables que es fan passar per documents de Microsoft Word, que després activen scripts cmd per iniciar el procés de xifratge i soltar notes de rescat.

Aquests comportaments furtius fan que la detecció i la remediació siguin significativament més difícils per als defensors.

Un panorama d’amenaces més ampli i implicacions estratègiques

Pay2Key.I2P és més que una simple empresa criminal; representa un front de ciberguerra alineat amb els interessos de l'estat iranià. Els seus fonaments ideològics són evidents a través dels seus incentius de pagament específics i la selecció estratègica de víctimes.

Aquesta amenaça es desenvolupa en un context d'augment de les tensions geopolítiques. Arran dels atacs aeris nord-americans contra instal·lacions nuclears iranianes, les agències d'intel·ligència nord-americanes han emès advertències sobre possibles ciberatacs de represàlia. Entre maig i juny de 2025, els investigadors van registrar 28 ciberatacs atribuïts a l'Iran, centrats principalment en els sectors del transport i la indústria manufacturera dels Estats Units.

Entre els grups iranians destacats de l'APT que hi ha darrere d'aquestes campanyes hi ha:

  • Aigua fangosa
  • APT33
  • Plataforma petroliera
  • Cibervenjadors
  • Gat de guineu
  • Justícia Nacional

Aquests actors ataquen cada cop més les infraestructures industrials i crítiques tant als Estats Units com als països aliats, cosa que emfatitza la necessitat urgent de millorar les defenses de ciberseguretat.

Conclusió: Prepareu-vos per a una amenaça en evolució

Pay2Key.I2P és un clar recordatori de com les amenaces de ransomware estan evolucionant cap a eines d'influència geopolítica i ciberguerra. Amb sofisticació tècnica, altes recompenses d'afiliació i motivacions ideològiques, aquesta campanya no només tracta de diners, sinó de poder i disrupció. Les organitzacions, especialment les de sectors crítics, han de romandre vigilants, assegurar-se que les vulnerabilitats del sistema es corregeixin i implementar estratègies de defensa proactives per combatre aquesta amenaça emergent.

Tendència

Més vist

Carregant...