Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Ransomware Pay2Key.I2P zsarolóvírus

Pay2Key.I2P zsarolóvírus

Mezo -ra Ransomware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Az Irán, Izrael és az Egyesült Államok közötti fokozódó feszültségek nyomán újra megjelent egy kifinomult, Pay2Key.I2P névre keresztelt zsarolóvírus-szolgáltatásként (RaaS) művelet. Iráni érdekek által támogatott, pénzügyileg motivált, mégis ideológiailag vezérelt kampány fokozott ösztönzőket kínál az Izraelt és az Egyesült Államokat célzó kiberbűnözők számára. A frissített változat új infrastrukturális taktikákat vezetett be és kibővítette célpontképességeit, ami aggasztó fejlődést jelez a zsarolóvírusok világában.

Ismerős fenyegetés új arccal

A Pay2Key-t, amelyet először 2020 októberi támadásokhoz kötöttek, régóta az iráni állam által támogatott műveletekkel hozzák összefüggésbe. Legújabb inkarnációja, a Pay2Key.I2P, feltehetően a Fox Kittenhez (más néven Lemon Sandstorm) kapcsolódik, amely egy ismert fejlett perzisztens fenyegetés (APT) csoport. Fontos megjegyezni, hogy ez a kampány feltételezhetően a Mimic zsarolóvírus funkcióit használja ki vagy tartalmazza, növelve annak kifinomultságát.

A frissített RaaS modell mostantól 80%-os profitrészesedést kínál – a korábbi 70%-ról növekedést – kifejezetten az iráni érdekekkel összhangban álló vagy Irán ellenségei ellen támadásokat végrehajtani hajlandó leányvállalatoknak. Ez a változás a pénzügyi és ideológiai motivációk egyértelmű keverékét mutatja.

Az I2P-alapú RaaS platform felemelkedése

A Pay2Key.I2P-t az különbözteti meg a többitől, hogy a teljes infrastruktúráját az Invisible Internet Project (I2P) tárhelyszolgáltatására használja. Míg egyes kártevőcsaládok az I2P-t parancs- és irányítási (C2) funkciókhoz használták, a Pay2Key.I2P az első ismert RaaS-művelet, amely teljes mértékben ezen az anonimizált hálózaton belül fut. Ez egy olyan lopakodási és ellenálló képességi réteget biztosít, amely megnehezíti a bűnüldöző szervek eltávolítási erőfeszítéseit.

2025 februárjában a csoport több mint 51 sikeres váltságdíjfizetést követelt, amivel összesen több mint 4 millió dollár bevételt generált, az egyes operátorok pedig akár 100 000 dollárt is kerestek. Ezek a számok aláhúzzák a művelet mértékét és rövid időn belüli sikerét.

Különösen figyelemre méltó esemény történt 2025. február 20-án, amikor egy „Isreactive” álnéven futó darknetes felhasználó egy orosz kiberbűnözési fórumon hirdette a zsarolóvírust. A bejegyzés lehetővé tette bárki számára, hogy telepítse a bináris fájlt sikeres támadásonként 20 000 dolláros kifizetésért, ami szélesebb körű részvételt és nagyobb bevételszerzést tett lehetővé a fejlesztők számára, ami változást hozott az RaaS dinamikájában.

Technikai fejlesztések és lopakodó képességek

A Pay2Key.I2P folyamatos finomítást mutat, a zsarolóvírus-készítő 2025 júniusától Linux célzási képességeket is kapott. Windowsos változata végrehajtható fájlként terjed egy önkicsomagoló (SFX) archívumon belül, fejlett technikákat használva az észlelés megkerülésére.

Néhány főbb jellemző:

  • A Microsoft Defender Antivirus letiltása végrehajtás közben
  • Kártékony eredetű tárgyak törlése a forenzikus lábnyom csökkentése érdekében

Rejtett hasznos fájlok, például Microsoft Word-dokumentumoknak álcázott futtatható fájlok használata, amelyek ezután cmd szkripteket indítanak el a titkosítási folyamat megkezdéséhez és váltságdíjat követelő üzenetek küldéséhez.

Ezek a lopakodó viselkedések jelentősen megnehezítik a felderítést és a elhárítást a védők számára.

Szélesebb fenyegetési környezet és stratégiai következmények

A Pay2Key.I2P több mint egy bűnözői vállalkozás; egy olyan kiberháborús frontot képvisel, amely összhangban van az iráni állam érdekeivel. Ideológiai alapjai a célzott kifizetési ösztönzőkben és a stratégiai áldozatkiválasztásban nyilvánulnak meg.

Ez a fenyegetés a fokozott geopolitikai feszültségek hátterében bontakozik ki. Az iráni nukleáris létesítmények elleni amerikai légicsapásokat követően az amerikai hírszerző ügynökségek figyelmeztetéseket adtak ki a lehetséges megtorló kibertámadásokról. 2025 májusa és júniusa között a kutatók 28 Iránhoz köthető kibertámadást regisztráltak, amelyek elsősorban az amerikai közlekedési és feldolgozóipari ágazatokra összpontosultak.

A kampányok mögött álló kiemelkedő iráni APT-csoportok a következők:

  • Sárosvíz
  • APT33
  • Olajfúrótorony
  • Kiber Av3ngerek
  • Róka cica
  • Hazai igazságszolgáltatás

Ezek a szereplők egyre inkább az ipari és kritikus infrastruktúrákat veszik célba mind az Egyesült Államokban, mind a szövetséges országokban, ami hangsúlyozza a kiberbiztonsági védelem javításának sürgető szükségességét.

Konklúzió: Felkészülés a változó fenyegetésre

A Pay2Key.I2P kíméletlenül emlékeztet arra, hogyan válnak a zsarolóvírus-fenyegetések a geopolitikai befolyás és a kiberhadviselés eszközeivé. A technikai kifinomultsággal, a magas affiliate jutalmakkal és az ideológiai motivációkkal ez a kampány nem csak a pénzről szól, hanem a hatalomról és a zavarokról is. A szervezeteknek, különösen a kritikus szektorokban működőknek, ébernek kell maradniuk, biztosítaniuk kell a rendszer sebezhetőségeinek javítását, és proaktív védelmi stratégiákat kell végrehajtaniuk e felmerülő fenyegetés leküzdésére.

Felkapott

Legnézettebb

Betöltés...