Rabattilbud med flere licenser
Trusseldatabase Ransomware Pay2Key.I2P Ransomware

Pay2Key.I2P Ransomware

Med Mezo i Ransomware, Advanced Persistent Threat (APT)
Oversæt til:

I kølvandet på de eskalerende spændinger mellem Iran, Israel og USA er en sofistikeret Ransomware-as-a-Service (RaaS)-operation ved navn Pay2Key.I2P dukket op igen. Denne økonomisk motiverede, men ideologisk drevne kampagne, der er bakket op af iranske interesser, tilbyder øgede incitamenter for cyberkriminelle, der målretter Israel og USA. Den opdaterede variant har introduceret nye infrastrukturtaktikker og udvidet sine målfunktioner, hvilket markerer en bekymrende udvikling i ransomware-landskabet.

En velkendt trussel med et nyt ansigt

Pay2Key, der først blev forbundet med angreb i oktober 2020, har længe været forbundet med iranske statsstøttede operationer. Dens seneste inkarnation, Pay2Key.I2P, menes at være forbundet med Fox Kitten (også kendt som Lemon Sandstorm), en kendt gruppe af avancerede vedvarende trusler (APT). Det er værd at bemærke, at denne kampagne menes at udnytte eller inkorporere funktioner fra Mimic ransomware, hvilket bidrager til dens sofistikering.

Den opdaterede RaaS-model tilbyder nu en profitandel på 80 %, en stigning fra de tidligere 70 %, specifikt til associerede selskaber, der er tilknyttet iranske interesser, eller som er villige til at udføre angreb mod Irans modstandere. Dette skift demonstrerer en klar blanding af økonomiske og ideologiske motivationer.

Fremkomsten af den I2P-baserede RaaS-platform

Det, der adskiller Pay2Key.I2P, er brugen af Invisible Internet Project (I2P) til at hoste hele sin infrastruktur. Mens nogle malwarefamilier har brugt I2P til kommando-og-kontrol (C2)-funktioner, er Pay2Key.I2P den første kendte RaaS-operation, der kører fuldt ud inden for dette anonymiserede netværk. Dette tilføjer et lag af stealth og robusthed, der komplicerer politiets nedlukningsindsats.

I februar 2025 hævdede gruppen over 51 succesfulde løsesumsbetalinger, hvilket genererede mere end 4 millioner dollars i samlet omsætning, hvor individuelle operatører tjente så meget som 100.000 dollars. Disse tal understreger operationens omfang og succes inden for en kort tidsramme.

En særlig bemærkelsesværdig begivenhed fandt sted den 20. februar 2025, da en darknet-bruger under aliaset 'Isreactive' annoncerede ransomware-filen på et russisk cyberkriminalitetsforum. Opslaget tillod alle at installere den binære fil mod en udbetaling på 20.000 dollars pr. vellykket angreb, hvilket indvarslede et skift i RaaS-dynamikken ved at muliggøre bredere deltagelse og større indtægtsgenerering for udviklere.

Tekniske fremskridt og skjulte muligheder

Pay2Key.I2P demonstrerer konstant forbedring, hvor ransomware-byggeren får Linux-målretningsfunktioner fra juni 2025. Dens Windows-variant distribueres som en eksekverbar fil i et selvudpakkende (SFX) arkiv, der bruger avancerede teknikker til at omgå detektion.

Nogle nøglefunktioner inkluderer:

  • Deaktivering af Microsoft Defender Antivirus under udførelse
  • Sletning af skadelige artefakter for at reducere det retsmedicinske fodaftryk

    • Brug af forklædte nyttelast, såsom eksekverbare filer, der udgiver sig for at være Microsoft Word-dokumenter, som derefter udløser cmd-scripts til at starte krypteringsprocessen og sende løsesumsnotater

    Disse skjulte adfærdsmønstre gør det betydeligt vanskeligere for forsvarere at opdage og afhjælpe.

    Et bredere trusselsbillede og strategiske implikationer

    Pay2Key.I2P er mere end blot et kriminelt foretagende; det repræsenterer en cyberkrigsfront, der er i overensstemmelse med den iranske stats interesser. Dets ideologiske grundlag er tydeligt gennem dets målrettede udbetalingsincitamenter og strategiske udvælgelse af ofre.

    Denne trussel udfolder sig på baggrund af øgede geopolitiske spændinger. Efter amerikanske luftangreb på iranske atomanlæg har amerikanske efterretningstjenester udsendt advarsler om mulige gengældelsescyberangreb. Mellem maj og juni 2025 registrerede forskere 28 cyberangreb, der blev tilskrevet Iran, primært fokuseret på den amerikanske transport- og fremstillingssektor.

    Fremtrædende iranske APT-grupper bag disse kampagner inkluderer:

    • MudretVand
    • Lejl. 33
    • Olieplatform
    • Cyber-av3ngers
    • Rævekilling
    • Hjemlandsretfærdighed

    Disse aktører målretter sig i stigende grad mod industriel og kritisk infrastruktur i både USA og allierede nationer, hvilket understreger det presserende behov for forbedret cybersikkerhedsforsvar.

    Konklusion: Forbered dig på en udviklende trussel

    Pay2Key.I2P er en barsk påmindelse om, hvordan ransomware-trusler udvikler sig til værktøjer til geopolitisk indflydelse og cyberkrigsførelse. Med teknisk sofistikering, høje affiliate-belønninger og ideologiske motivationer handler denne kampagne ikke kun om penge, den handler om magt og forstyrrelse. Organisationer, især dem i kritiske sektorer, skal forblive årvågne, sikre, at systemsårbarheder patches, og implementere proaktive forsvarsstrategier for at bekæmpe denne nye trussel.

    Trending

    Mest sete

    Indlæser...