Ponuda s popustom na više licenci
Baza prijetnji Ransomware Pay2Key.I2P ransomware

Pay2Key.I2P ransomware

Do Mezo. Ransomware, Napredna trajna prijetnja (APT). godine
Prevedi na:

U svjetlu eskalacije napetosti između Irana, Izraela i SAD-a, ponovno se pojavila sofisticirana operacija Ransomware-as-a-Service (RaaS) pod nazivom Pay2Key.I2P. Podržana iranskim interesima, ova financijski motivirana, ali ideološki vođena kampanja nudi pojačane poticaje za kibernetičke kriminalce koji ciljaju Izrael i Sjedinjene Države. Ažurirana varijanta uvela je nove infrastrukturne taktike i proširila svoje mogućnosti ciljanja, označavajući zabrinjavajuću evoluciju u krajoliku ransomwarea.

Poznata prijetnja s novim licem

Pay2Key, prvi put povezan s napadima u listopadu 2020., dugo se povezivao s operacijama koje sponzorira iranska država. Vjeruje se da je njegova najnovija inkarnacija, Pay2Key.I2P, povezana s Fox Kittenom (također poznatim kao Lemon Sandstorm), poznatom naprednom skupinom za perzistentne prijetnje (APT). Vjeruje se da ova kampanja koristi ili uključuje značajke ransomwarea Mimic, što doprinosi njezinoj sofisticiranosti.

Ažurirani RaaS model sada nudi 80% udjela u dobiti, što je povećanje u odnosu na prethodnih 70%, posebno za tvrtke povezane s iranskim interesima ili one koje su spremne provoditi napade na iranske protivnike. Ova promjena pokazuje jasnu mješavinu financijskih i ideoloških motivacija.

Uspon RaaS platforme temeljene na I2P-u

Ono što izdvaja Pay2Key.I2P jest korištenje Invisible Internet Projecta (I2P) za hosting cijele svoje infrastrukture. Dok su neke obitelji zlonamjernog softvera koristile I2P za funkcije zapovijedanja i kontrole (C2), Pay2Key.I2P je prva poznata RaaS operacija koja se u potpunosti izvodi unutar ove anonimizirane mreže. To dodaje sloj prikrivenosti i otpornosti koji komplicira napore policije u njihovom uklanjanju.

U veljači 2025., grupa je uspjela izvršiti više od 51 isplatu otkupnine, ostvarivši ukupni prihod veći od 4 milijuna dolara, a pojedinačni operateri zaradili su čak 100.000 dolara. Ove brojke naglašavaju opseg i uspjeh operacije u kratkom vremenskom okviru.

Posebno značajan događaj zbio se 20. veljače 2025. kada je korisnik darkneta pod pseudonimom 'Isreactive' reklamirao ransomware na ruskom forumu o kibernetičkom kriminalu. Objava je omogućila bilo kome da instalira binarni program za isplatu od 20.000 dolara po uspješnom napadu, što je dovelo do promjene u dinamici RaaS-a omogućujući šire sudjelovanje i veće ostvarivanje prihoda za programere.

Tehnički napredak i prikrivene sposobnosti

Pay2Key.I2P pokazuje stalno usavršavanje, a alat za izradu ransomwarea dobiva mogućnosti ciljanja Linuxa od lipnja 2025. Njegova Windows varijanta distribuira se kao izvršna datoteka unutar samoraspakirajuće (SFX) arhive, koristeći napredne tehnike za zaobilaženje otkrivanja.

Neke ključne značajke uključuju:

  • Onemogućavanje Microsoft Defender Antivirusa tijekom izvršavanja
  • Brisanje zlonamjernih artefakata radi smanjenja forenzičkog otiska

    • Korištenje prikrivenih sadržaja, poput izvršnih datoteka maskiranih kao Microsoft Word dokumenti, koje zatim pokreću cmd skripte za pokretanje procesa šifriranja i slanje poruka s zahtjevom za otkupninu

    Ova prikrivena ponašanja znatno otežavaju otkrivanje i sanaciju braniteljima.

    Širi krajolik prijetnji i strateške implikacije

    Pay2Key.I2P je više od pukog kriminalnog pothvata; predstavlja frontu za kibernetičko ratovanje koja je usklađena s interesima iranske države. Njegovi ideološki temelji vidljivi su kroz ciljane poticaje za isplatu i strateški odabir žrtava.

    Ova prijetnja se razvija u kontekstu pojačanih geopolitičkih napetosti. Nakon američkih zračnih napada na iranska nuklearna postrojenja, američke obavještajne agencije izdale su upozorenja o mogućim odmazdi kibernetičkim napadima. Između svibnja i lipnja 2025. istraživači su zabilježili 28 kibernetičkih napada pripisanih Iranu, prvenstveno usmjerenih na američki prometni i proizvodni sektor.

    Istaknute iranske APT skupine koje stoje iza ovih kampanja uključuju:

    • MuddyWater
    • APT33
    • Naftna platforma
    • Cyber Av3ngers
    • Mačić lisica
    • Domovinska pravda

    Ti akteri sve više ciljaju industrijsku i kritičnu infrastrukturu u SAD-u i savezničkim zemljama, naglašavajući hitnu potrebu za poboljšanom kibernetičkom obranom.

    Zaključak: Pripremite se za rastuću prijetnju

    Pay2Key.I2P je oštar podsjetnik na to kako se prijetnje ransomwarea razvijaju u alate geopolitičkog utjecaja i kibernetičkog ratovanja. S tehničkom sofisticiranošću, visokim nagradama za partnere i ideološkim motivacijama, ova kampanja nije samo o novcu, već o moći i poremećajima. Organizacije, posebno one u kritičnim sektorima, moraju ostati budne, osigurati da su ranjivosti sustava zakrpane i implementirati proaktivne obrambene strategije za borbu protiv ove nove prijetnje.

    U trendu

    Nagledanije

    Učitavam...