תוכנת הכופר Pay2Key.I2P

בעקבות הסלמה במתיחות בין איראן, ישראל וארה"ב, צץ מחדש מבצע מתוחכם של תוכנות כופר כשירות (RaaS) בשם Pay2Key.I2P. קמפיין זה, המגובה באינטרסים איראניים, מניע פיננסי אך גם אידיאולוגי, מציע תמריצים מוגברים לפושעי סייבר המכוונים לישראל ולארצות הברית. הגרסה המעודכנת הציגה טקטיקות תשתית חדשות והרחיבה את יכולות המטרה שלה, מה שמסמן התפתחות מדאיגה בנוף תוכנות הכופר.

איום מוכר עם פנים חדשות

Pay2Key, אשר נקשר לראשונה למתקפות באוקטובר 2020, נקשר זה מכבר לפעולות בחסות המדינה האיראנית. הגרסה האחרונה שלה, Pay2Key.I2P, נחשבת כקשורה ל-Fox Kitten (הידועה גם בשם Lemon Sandstorm), קבוצת איומים מתקדמים ומתמשכים (APT). ראוי לציין כי קמפיין זה, ככל הנראה, מנצל או משלב תכונות מתוכנת הכופר Mimic, מה שמוסיף לתחכום שלו.

מודל RaaS המעודכן מציע כעת חלוקת רווחים של 80%, עלייה מ-70% הקודם, במיוחד לחברות המסונפות לאינטרסים איראניים או לאלו המוכנות לבצע פיגועים נגד יריביה של איראן. שינוי זה מדגים שילוב ברור של מניעים פיננסיים ואידיאולוגיים.

עלייתה של פלטפורמת RaaS מבוססת I2P

מה שמייחד את Pay2Key.I2P הוא השימוש שלו בפרויקט האינטרנט הבלתי נראה (I2P) לאירוח כל התשתית שלו. בעוד שכמה משפחות של תוכנות זדוניות השתמשו ב-I2P לפונקציות פיקוד ובקרה (C2), Pay2Key.I2P היא פעולת ה-RaaS הראשונה הידועה שפועלת במלואה בתוך רשת אנונימית זו. זה מוסיף שכבה של חמקנות ועמידות שמסבכת את מאמצי ההסרה על ידי אכיפת החוק.

בפברואר 2025, הקבוצה טענה ל-51 תשלומי כופר מוצלחים, שהניבו הכנסות כוללות של יותר מ-4 מיליון דולר, כאשר מפעילים בודדים הרוויחו עד 100,000 דולר. מספרים אלה מדגישים את היקף והצלחת המבצע במסגרת זמן קצרה.

אירוע בולט במיוחד התרחש ב-20 בפברואר 2025, כאשר משתמש רשת אפלה שכינויו 'Isreactive' פרסם את תוכנת הכופר בפורום פשעי סייבר רוסי. הפוסט אפשר לכל אחד לפרוס את התוכנה הבינארית תמורת תשלום של 20,000 דולר לכל מתקפה מוצלחת, מה שבישר שינוי בדינמיקת RaaS בכך שאפשר השתתפות רחבה יותר והכנסות גדולות יותר עבור מפתחים.

התקדמות טכנית ויכולות התגנבות

Pay2Key.I2P מדגים שיפור מתמיד, כאשר בונה תוכנות הכופר מקבל יכולות מיקוד בלינוקס החל מיוני 2025. גרסת Windows שלו מופצת כקובץ הרצה בתוך ארכיון חילוץ עצמי (SFX), תוך שימוש בטכניקות מתקדמות כדי לעקוף את הזיהוי.

כמה תכונות עיקריות כוללות:

שימוש במטענים מוסווים, כגון קבצי הפעלה המתחזים למסמכי Microsoft Word, אשר לאחר מכן מפעילים סקריפטי cmd להתחיל בתהליך ההצפנה ולשחרר הודעות כופר.

התנהגויות חשאיות אלו הופכות את הגילוי והתיקון לקשים משמעותית עבור המגנים.

נוף איומים רחב יותר והשלכות אסטרטגיות

Pay2Key.I2P הוא יותר מסתם מיזם פשיעה; הוא מייצג חזית לוחמת סייבר התואמת את האינטרסים של המדינה האיראנית. הבסיס האידיאולוגי שלו ניכר באמצעות תמריצי תשלום ממוקדים ובחירת קורבנות אסטרטגית.

איום זה מתפתח על רקע מתחים גיאופוליטיים גוברים. בעקבות תקיפות אוויריות אמריקאיות על מתקני גרעין איראניים, סוכנויות המודיעין האמריקאיות פרסמו אזהרות מפני מתקפות סייבר אפשריות כנקמה. בין מאי ליוני 2025, חוקרים תיעדו 28 מתקפות סייבר המיוחסות לאיראן, שהתמקדו בעיקר במגזרי התחבורה והייצור בארה"ב.

קבוצות APT איראניות בולטות העומדות מאחורי קמפיינים אלה כוללות:

• בוצות מים
• דירה 33
• מִתקַן קִדוּחַ
• נוקמי סייבר
• חתלתול פוקס
• צדק מולדת

גורמים אלה מכוונים יותר ויותר לתשתיות תעשייתיות וקריטיות הן בארה"ב והן במדינות בעלות בריתה, תוך הדגשת הצורך הדחוף בשיפור הגנות הסייבר.

סיכום: היכונו לאיום מתפתח

Pay2Key.I2P הוא תזכורת חדה לאופן שבו איומי כופר מתפתחים לכלי השפעה גיאופוליטית ולוחמת סייבר. עם תחכום טכני, תגמולים גבוהים של שותפים ומניעים אידיאולוגיים, קמפיין זה אינו עוסק רק בכסף, אלא בכוח ובשיבושים. ארגונים, במיוחד אלו במגזרים קריטיים, חייבים להישאר ערניים, להבטיח תיקון פגיעויות במערכת וליישם אסטרטגיות הגנה פרואקטיביות כדי להילחם באיום המתפתח הזה.