Preventivo sconto multi-licenza
Database delle minacce Riscatto Ransomware Pay2Key.I2P

Ransomware Pay2Key.I2P

Entro Mezo nel Riscatto, Minaccia persistente avanzata (APT)
Traduci in:

Sulla scia dell'escalation delle tensioni tra Iran, Israele e Stati Uniti, è riemersa una sofisticata operazione Ransomware-as-a-Service (RaaS) denominata Pay2Key.I2P. Sostenuta da interessi iraniani, questa campagna, motivata da motivazioni finanziarie ma anche ideologiche, offre maggiori incentivi ai criminali informatici che prendono di mira Israele e gli Stati Uniti. La versione aggiornata ha introdotto nuove tattiche infrastrutturali e ampliato le sue capacità di attacco, segnando un'evoluzione preoccupante nel panorama dei ransomware.

Una minaccia familiare con un volto nuovo

Collegato per la prima volta ad attacchi nell'ottobre 2020, Pay2Key è da tempo associato a operazioni sponsorizzate dallo stato iraniano. Si ritiene che la sua ultima incarnazione, Pay2Key.I2P, sia collegata a Fox Kitten (noto anche come Lemon Sandstorm), un noto gruppo APT (Advanced Persistent Threat). In particolare, si ritiene che questa campagna sfrutti o incorpori funzionalità del ransomware Mimic, aumentandone la sofisticatezza.

Il modello RaaS aggiornato offre ora una quota di profitto dell'80%, in aumento rispetto al precedente 70%, specificamente alle affiliate allineate con gli interessi iraniani o a coloro che sono intenzionati a condurre attacchi contro i nemici dell'Iran. Questo cambiamento dimostra una chiara combinazione di motivazioni finanziarie e ideologiche.

L’ascesa della piattaforma RaaS basata su I2P

Ciò che distingue Pay2Key.I2P è l'utilizzo dell'Invisible Internet Project (I2P) per l'hosting dell'intera infrastruttura. Mentre alcune famiglie di malware hanno utilizzato I2P per funzioni di comando e controllo (C2), Pay2Key.I2P è la prima operazione RaaS nota a essere eseguita completamente all'interno di questa rete anonima. Questo aggiunge un livello di stealth e resilienza che complica gli sforzi di smantellamento da parte delle forze dell'ordine.

Nel febbraio 2025, il gruppo ha dichiarato di aver pagato con successo oltre 51 riscatti, generando un fatturato totale di oltre 4 milioni di dollari, con i singoli operatori che hanno guadagnato fino a 100.000 dollari. Questi numeri sottolineano la portata e il successo dell'operazione in un arco di tempo così breve.

Un evento particolarmente degno di nota si è verificato il 20 febbraio 2025, quando un utente del darknet con l'alias "Isreactive" ha pubblicizzato il ransomware su un forum russo dedicato alla criminalità informatica. Il post permetteva a chiunque di distribuire il binario in cambio di un compenso di 20.000 dollari per attacco andato a segno, inaugurando un cambiamento nelle dinamiche del RaaS, consentendo una maggiore partecipazione e maggiori profitti per gli sviluppatori.

Progressi tecnici e capacità stealth

Pay2Key.I2P dimostra un costante perfezionamento, con il generatore di ransomware che ha acquisito capacità di targeting per Linux a partire da giugno 2025. La sua variante per Windows viene distribuita come eseguibile all'interno di un archivio autoestraente (SFX), utilizzando tecniche avanzate per eludere il rilevamento.

Alcune caratteristiche principali includono:

  • Disabilitazione di Microsoft Defender Antivirus durante l'esecuzione
  • Cancellazione di artefatti dannosi per ridurre l'impronta forense

Utilizzando payload mascherati, come file eseguibili mascherati da documenti di Microsoft Word, che poi attivano script cmd per avviare il processo di crittografia e rilasciare note di riscatto

Questi comportamenti furtivi rendono molto più difficile per i difensori individuare e porre rimedio ai problemi.

Un panorama di minacce più ampio e implicazioni strategiche

Pay2Key.I2P è più di una semplice impresa criminale: rappresenta un fronte di guerra informatica allineato agli interessi dello Stato iraniano. Le sue fondamenta ideologiche sono evidenti negli incentivi di pagamento mirati e nella selezione strategica delle vittime.

Questa minaccia si sta manifestando in un contesto di accresciute tensioni geopolitiche. A seguito dei raid aerei americani contro gli impianti nucleari iraniani, le agenzie di intelligence statunitensi hanno lanciato avvertimenti su possibili attacchi informatici di ritorsione. Tra maggio e giugno 2025, i ricercatori hanno registrato 28 attacchi informatici attribuiti all'Iran, concentrati principalmente sui settori dei trasporti e manifatturiero statunitensi.

Tra i principali gruppi APT iraniani dietro queste campagne figurano:

  • Acqua fangosa
  • APT33
  • Piattaforma petrolifera
  • Avventurieri informatici
  • Gattino volpe
  • Giustizia della Patria

Questi attori stanno prendendo sempre più di mira le infrastrutture industriali e critiche sia negli Stati Uniti che nei paesi alleati, sottolineando l'urgente necessità di migliorare le difese di sicurezza informatica.

Conclusione: prepararsi a una minaccia in evoluzione

Pay2Key.I2P è un duro monito di come le minacce ransomware si stiano evolvendo in strumenti di influenza geopolitica e di guerra informatica. Con sofisticatezza tecnica, elevate ricompense per gli affiliati e motivazioni ideologiche, questa campagna non riguarda solo il denaro, ma anche il potere e la destabilizzazione. Le organizzazioni, soprattutto quelle in settori critici, devono rimanere vigili, garantire che le vulnerabilità dei sistemi vengano corrette e implementare strategie di difesa proattive per combattere questa minaccia emergente.

Tendenza

I più visti

Caricamento in corso...