Monen lisenssin alennustarjous
Uhatietokanta Ransomware Pay2Key.I2P-kiristysohjelma

Pay2Key.I2P-kiristysohjelma

Vuonna Mezo vuonna Ransomware, Advanced Persistent Threat (APT)
Käännä:

Iranin, Israelin ja Yhdysvaltojen välisten jännitteiden kiristyessä on palannut esiin hienostunut Ransomware-as-a-Service (RaaS) -operaatio nimeltä Pay2Key.I2P. Iranilaisten intressien tukema taloudellisesti motivoitunut mutta ideologisesti ajateltu kampanja tarjoaa entistä suurempia kannustimia kyberrikollisille, jotka kohdistavat hyökkäyksensä Israeliin ja Yhdysvaltoihin. Päivitetty versio on ottanut käyttöön uusia infrastruktuuritaktiikoita ja laajentanut kohdeominaisuuksiaan, mikä on huolestuttava kehitysaskel kiristyshaittaohjelmien maailmassa.

Tuttu uhka uusilla kasvoilla

Pay2Key yhdistettiin ensimmäisen kerran lokakuussa 2020 tapahtuneisiin hyökkäyksiin, ja sitä on pitkään yhdistetty Iranin valtion tukemiin operaatioihin. Sen uusimman version, Pay2Key.I2P:n, uskotaan olevan yhteydessä Fox Kitteniin (tunnetaan myös nimellä Lemon Sandstorm), joka on tunnettu kehittyneiden jatkuvien uhkien (APT) ryhmä. Huomionarvoista on, että tämän kampanjan uskotaan hyödyntävän tai sisältävän Mimic-kiristysohjelman ominaisuuksia, mikä lisää sen hienostuneisuutta.

Päivitetty RaaS-malli tarjoaa nyt 80 prosentin voitto-osuuden, mikä on nousu aiemmasta 70 prosentista, erityisesti Iranin etujen mukaisille tytäryhtiöille tai niille, jotka ovat halukkaita tekemään iskuja Iranin vihollisia vastaan. Tämä muutos osoittaa selkeän taloudellisten ja ideologisten motivaatioiden yhdistelmän.

I2P-pohjaisen RaaS-alustan nousu

Pay2Key.I2P erottuu muista haaveistaan käyttämällä Invisible Internet Project (I2P) -infrastruktuuria koko infrastruktuurinsa ylläpitoon. Vaikka jotkin haittaohjelmaperheet ovat käyttäneet I2P:tä komento- ja hallintatoimintoihin (C2), Pay2Key.I2P on ensimmäinen tunnettu RaaS-operaatio, joka toimii kokonaan tässä anonymisoidussa verkossa. Tämä lisää piilotus- ja vikasietoisuuskerroksen, joka vaikeuttaa lainvalvontaviranomaisten poistotoimia.

Helmikuussa 2025 ryhmä vaati yli 51 onnistunutta lunnasmaksua, mikä tuotti yhteensä yli 4 miljoonaa dollaria tuloja, ja yksittäiset toimijat ansaitsivat jopa 100 000 dollaria. Nämä luvut korostavat operaation laajuutta ja menestystä lyhyessä ajassa.

Erityisen merkittävä tapahtuma sattui 20. helmikuuta 2025, kun darknetin käyttäjä, joka esiintyi salanimellä 'Isreactive', mainosti kiristyshaittaohjelmaa venäläisellä kyberrikollisuusfoorumilla. Julkaisun ansiosta kuka tahansa pystyi levittämään binääritiedostoa 20 000 dollarin palkkiolla onnistunutta hyökkäystä kohden, mikä muutti RaaS-dynamiikkaa mahdollistamalla laajemman osallistumisen ja suuremmat tulot kehittäjille.

Tekniset edistysaskeleet ja häiveominaisuudet

Pay2Key.I2P kehittyy jatkuvasti, ja kiristysohjelmien rakentaja sai Linux-kohdistusominaisuudet kesäkuusta 2025 lähtien. Sen Windows-versio jaetaan suoritettavana tiedostona itsepurkautuvassa (SFX) arkistossa, jossa käytetään edistyneitä tekniikoita havaitsemisen ohittamiseen.

Joitakin keskeisiä ominaisuuksia ovat:

  • Microsoft Defender Antivirusin poistaminen käytöstä suorituksen aikana
  • Haitallisten esineiden poistaminen rikosteknisen jalanjäljen pienentämiseksi

Käyttämällä naamioituja hyötykuormia, kuten Microsoft Word -dokumenteiksi naamioituja suoritettavia tiedostoja, jotka sitten käynnistävät cmd-skriptejä salausprosessin aloittamiseksi ja lunnasvaatimusten lähettämiseksi

Nämä huomaamattomat käyttäytymismallit vaikeuttavat havaitsemista ja korjaavia toimia merkittävästi puolustajille.

Laajempi uhkakuva ja strategiset vaikutukset

Pay2Key.I2P on enemmän kuin pelkkä rikollinen yritys; se edustaa kybersodankäyntirintamaa, joka on linjassa Iranin valtion etujen kanssa. Sen ideologiset perusteet näkyvät kohdennetuissa palkkiokannustimissa ja strategisessa uhrien valinnassa.

Tämä uhka kehittyy lisääntyneiden geopoliittisten jännitteiden taustalla. Yhdysvaltain tiedustelupalvelut ovat varoittaneet mahdollisista vastatoimista kyberhyökkäyksistä Iranin ydinlaitoksiin Yhdysvaltojen ilmaiskujen jälkeen. Touko- ja kesäkuun 2025 välisenä aikana tutkijat kirjasivat 28 Iranin tekemää kyberhyökkäystä, jotka keskittyivät pääasiassa Yhdysvaltojen liikenne- ja teollisuussektoreihin.

Näiden kampanjoiden takana oleviin merkittäviin iranilaisiin APT-ryhmiin kuuluvat:

  • MuddyWater
  • APT33
  • Öljynporauslautta
  • Kyber Av3ngers
  • Kettu-kissanpentu
  • Kotimaan oikeus

Nämä toimijat kohdistavat yhä enemmän iskujaan teolliseen ja kriittiseen infrastruktuuriin sekä Yhdysvalloissa että liittolaismaissa, mikä korostaa kyberturvallisuuden parantamisen kiireellistä tarvetta.

Johtopäätös: Valmistaudu kehittyvään uhkaan

Pay2Key.I2P on karu muistutus siitä, miten kiristyshaittaohjelmauhat kehittyvät geopoliittisen vaikuttamisen ja kybersodankäynnin välineiksi. Teknisesti hienostuneena, korkeine kumppanuuspalkkioineen ja ideologisine motiiveineen tämä kampanja ei koske pelkästään rahaa, vaan valtaa ja häiriöitä. Organisaatioiden, erityisesti kriittisillä aloilla toimivien, on pysyttävä valppaina, varmistettava, että järjestelmien haavoittuvuudet korjataan, ja otettava käyttöön ennakoivia puolustusstrategioita tämän nousevan uhan torjumiseksi.

Trendaavat

Eniten katsottu

Ladataan...