Slevová nabídka pro více licencí
Databáze hrozeb Ransomware Ransomware Pay2Key.I2P

Ransomware Pay2Key.I2P

V roce Mezo v roce Ransomware, Pokročilá trvalá hrozba (APT)
Přeložit do:

V důsledku eskalace napětí mezi Íránem, Izraelem a USA se znovu objevila sofistikovaná operace Ransomware-as-a-Service (RaaS) s názvem Pay2Key.I2P. Tato finančně motivovaná, ale ideologicky poháněná kampaň, podporovaná íránskými zájmy, nabízí zvýšené pobídky pro kyberzločince cílící na Izrael a Spojené státy. Aktualizovaná varianta zavedla nové taktiky infrastruktury a rozšířila své cílové možnosti, což představuje znepokojivý vývoj v oblasti ransomwaru.

Známá hrozba s novou tváří

Pay2Key, poprvé spojovaný s útoky v říjnu 2020, je již dlouho spojován s operacemi sponzorovanými íránským státem. Jeho nejnovější inkarnace, Pay2Key.I2P, je pravděpodobně spojena s Fox Kitten (také známou jako Lemon Sandstorm), známou skupinou pokročilých perzistentních hrozeb (APT). Je pozoruhodné, že tato kampaň pravděpodobně využívá nebo zahrnuje funkce ransomwaru Mimic, což zvyšuje její sofistikovanost.

Aktualizovaný model RaaS nyní nabízí 80% podíl na zisku, což je nárůst oproti předchozím 70 %, konkrétně pro přidružené subjekty spojené s íránskými zájmy nebo ty, které jsou ochotny provádět útoky proti íránským protivníkům. Tato změna ukazuje jasnou směs finančních a ideologických motivací.

Vzestup platformy RaaS založené na I2P

Pay2Key.I2P se odlišuje využitím platformy Invisible Internet Project (I2P) pro hostování celé své infrastruktury. Zatímco některé rodiny malwaru využívají I2P pro funkce velení a řízení (C2), Pay2Key.I2P je první známou operací RaaS, která plně běží v této anonymizované síti. To přidává vrstvu utajení a odolnosti, která komplikuje snahy o její odstranění ze strany orgánů činných v trestním řízení.

V únoru 2025 si skupina nárokovala více než 51 úspěšných plateb výkupného, čímž vygenerovala celkové tržby přesahující 4 miliony dolarů, přičemž jednotliví operátoři si vydělali až 100 000 dolarů. Tato čísla podtrhují rozsah a úspěch operace v krátkém časovém horizontu.

Obzvláště pozoruhodná událost se odehrála 20. února 2025, kdy uživatel darknetu s přezdívkou „Isreactive“ inzeroval ransomware na ruském fóru o kyberkriminalitě. Příspěvek umožňoval komukoli nasadit binární soubor za odměnu 20 000 dolarů za úspěšný útok, což vedlo k posunu v dynamice RaaS tím, že umožnilo širší zapojení a větší zisky pro vývojáře.

Technický pokrok a schopnosti nenápadnosti

Pay2Key.I2P vykazuje neustálé zdokonalování a tento nástroj pro tvorbu ransomwaru získává od června 2025 možnosti cílení na Linux. Jeho varianta pro Windows je distribuována jako spustitelný soubor v samorozbalovacím (SFX) archivu a využívá pokročilé techniky k obcházení detekce.

Mezi klíčové vlastnosti patří:

  • Zakázání antivirové aplikace Microsoft Defender během spuštění
  • Mazání škodlivých artefaktů pro snížení forenzní stopy

Používání maskovaných datových souborů, jako jsou spustitelné soubory maskované jako dokumenty Microsoft Word, které následně spouštějí skripty cmd, které zahájí proces šifrování a odešlou výkupné.

Toto nenápadné chování obráncům výrazně ztěžuje detekci a nápravu.

Širší prostředí hrozeb a strategické důsledky

Pay2Key.I2P je víc než jen zločinecký podnik; představuje frontu kybernetické války, která je v souladu se zájmy íránského státu. Jeho ideologické základy jsou patrné z cílených výplatních pobídek a strategického výběru obětí.

Tato hrozba se rozvíjí na pozadí zvýšeného geopolitického napětí. Po amerických leteckých útocích na íránská jaderná zařízení vydaly americké zpravodajské služby varování před možnými odvetnými kybernetickými útoky. Mezi květnem a červnem 2025 zaznamenali výzkumníci 28 kybernetických útoků připisovaných Íránu, zaměřených především na americký dopravní a výrobní sektor.

Mezi významné íránské skupiny APT stojící za těmito kampaněmi patří:

  • Kalná voda
  • APT33
  • Ropná plošina
  • Kybernetičtí Av3ngers
  • Liščí kotě
  • Spravedlnost vlasti

Tito aktéři se stále častěji zaměřují na průmyslovou a kritickou infrastrukturu v USA i spojeneckých zemích, což zdůrazňuje naléhavou potřebu zlepšení kybernetické obrany.

Závěr: Připravte se na vyvíjející se hrozbu

Pay2Key.I2P je drsnou připomínkou toho, jak se hrozby ransomwaru vyvíjejí v nástroje geopolitického vlivu a kybernetické války. Díky technické sofistikovanosti, vysokým odměnám pro affiliate partnery a ideologickým motivům se v této kampani nejedná jen o peníze, ale o moc a narušení provozu. Organizace, zejména ty v kritických odvětvích, musí zůstat ostražití, zajistit opravu zranitelností systémů a zavést proaktivní obranné strategie k boji proti této nově vznikající hrozbě.

Trendy

Nejvíce shlédnuto

Načítání...