다중 라이센스 할인 견적
위협 데이터베이스 랜섬웨어 Pay2Key.I2P 랜섬웨어

Pay2Key.I2P 랜섬웨어

랜섬웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

이란, 이스라엘, 미국 간의 긴장이 고조되는 가운데, Pay2Key.I2P라는 정교한 랜섬웨어 서비스형(RaaS) 공격이 다시 등장했습니다. 이란의 이익을 위해 운영되는 이 공격은 재정적 동기를 가지고 있으면서도 이념적 동기를 가지고 있으며, 이스라엘과 미국을 표적으로 삼는 사이버 범죄자들에게 더욱 강력한 동기를 부여합니다. 업데이트된 변종은 새로운 인프라 전략을 도입하고 공격 대상의 역량을 확장하여 랜섬웨어 환경에 우려스러운 변화를 가져왔습니다.

새로운 얼굴을 가진 익숙한 위협

2020년 10월 공격과 처음 연계된 Pay2Key는 오랫동안 이란 국가 지원 작전과 연관되어 왔습니다. 최근 Pay2Key.I2P는 APT(지능형 지속 위협) 공격으로 알려진 폭스 키튼(레몬 샌드스톰으로도 알려짐)과 연계된 것으로 추정됩니다. 특히, 이 캠페인은 미믹 랜섬웨어의 기능을 활용하거나 통합하여 더욱 정교해진 것으로 알려져 있습니다.

업데이트된 RaaS 모델은 이란의 이익에 부합하거나 이란의 적대 세력에 대한 공격을 감행할 의향이 있는 계열사에게 기존 70%에서 80%로 증가한 수익 배분을 제공합니다. 이러한 변화는 재정적 동기와 이념적 동기가 명확하게 혼합되어 있음을 보여줍니다.

I2P 기반 RaaS 플랫폼의 부상

Pay2Key.I2P의 차별점은 전체 인프라 호스팅에 Invisible Internet Project(I2P)를 사용한다는 점입니다. 일부 악성코드 계열은 명령 및 제어(C2) 기능에 I2P를 활용하지만, Pay2Key.I2P는 이 익명화된 네트워크 내에서 완전히 실행되는 최초의 RaaS(가상화 서비스)입니다. 이는 은밀성과 복원력을 강화하여 법 집행 기관의 단속 활동을 더욱 어렵게 만듭니다.

2025년 2월, 이 조직은 51건 이상의 몸값 지불에 성공하여 총 400만 달러 이상의 수익을 올렸으며, 개별 조직원들은 최대 10만 달러에 달하는 수익을 올렸습니다. 이러한 수치는 이 조직이 짧은 기간 내에 얼마나 대규모로, 그리고 성공적으로 운영되었는지를 보여줍니다.

특히 주목할 만한 사건은 2025년 2월 20일, 'Isreactive'라는 가명을 사용하는 다크넷 사용자가 러시아 사이버 범죄 포럼에 랜섬웨어를 광고한 사건이었습니다. 이 게시물은 누구든 공격 성공 시 2만 달러의 보상으로 바이너리를 배포할 수 있도록 허용했습니다. 이는 개발자들의 참여 확대와 수익 창출 확대를 통해 RaaS(서비스형 소프트웨어)의 역학 관계를 변화시켰습니다.

기술 발전 및 스텔스 기능

Pay2Key.I2P는 지속적인 개선을 거쳐 2025년 6월부터 Linux를 타겟으로 하는 기능을 추가했습니다. Windows 변종은 고급 기술을 사용하여 탐지를 우회하는 자체 압축 해제(SFX) 아카이브 내의 실행 파일로 배포됩니다.

주요 특징은 다음과 같습니다.

  • 실행 중 Microsoft Defender Antivirus 비활성화
  • 포렌식 흔적을 줄이기 위해 악성 아티팩트 삭제

    • Microsoft Word 문서로 위장한 실행 파일과 같은 위장된 페이로드를 사용하여 암호화 프로세스를 시작하고 몸값 요구 메모를 남기는 cmd 스크립트를 트리거합니다.

    이러한 은밀한 행동으로 인해 방어자는 이를 감지하고 해결하는 것이 훨씬 더 어려워집니다.

    더 광범위한 위협 환경과 전략적 의미

    Pay2Key.I2P는 단순한 범죄 조직이 아닙니다. 이란 정부의 이익에 부합하는 사이버 전쟁 전선을 구축하고 있습니다. 이들의 이념적 기반은 특정 대상에게 돈을 지급하는 인센티브와 전략적 피해자 선택을 통해 여실히 드러납니다.

    이러한 위협은 고조된 지정학적 긴장 속에서 전개되고 있습니다. 미국의 이란 핵 시설 공습 이후, 미국 정보기관들은 보복 사이버 공격 가능성에 대한 경고를 발령했습니다. 연구원들은 2025년 5월부터 6월까지 이란이 배후로 지목한 28건의 사이버 공격을 기록했으며, 주로 미국의 운송 및 제조 부문을 겨냥했습니다.

    이러한 캠페인의 배후에 있는 대표적인 이란 APT 그룹은 다음과 같습니다.

    • 진흙탕물
    • APT33
    • 오일리그
    • 사이버 어벤져스
    • 여우 새끼 고양이
    • 조국 정의

    이러한 행위자들은 미국과 동맹국 모두의 산업 및 중요 인프라를 점점 더 많이 표적으로 삼고 있어 사이버 보안 방어를 개선해야 할 시급한 필요성이 강조되고 있습니다.

    결론: 진화하는 위협에 대비하세요

    Pay2Key.I2P는 랜섬웨어 위협이 지정학적 영향력과 사이버 전쟁의 도구로 진화하고 있음을 여실히 보여줍니다. 정교한 기술, 높은 제휴사 보상, 그리고 이념적 동기를 지닌 이 캠페인은 단순히 돈벌이가 아닌 권력과 파괴를 노리고 있습니다. 특히 중요 산업에 종사하는 조직은 경계를 늦추지 않고 시스템 취약점을 패치하며, 이 새로운 위협에 맞서기 위한 선제적 방어 전략을 실행해야 합니다.

    트렌드

    주문 사기

    멀웨어, 피싱, 스팸
    디지털 시대에 이메일은 가장 흔한 의사소통 도구 중 하나이자 가장 많이 남용되는 도구 중 하나입니다. 온라인에서 유포되는 수많은 악성 이메일 캠페인 중 소위 '주문 배치 사기'는 사이버 범죄자들이 어떻게 속임수와 사회 공학을 이용하여 악성 코드를 유포하고 피해자의 시스템을 손상시키는지 보여주는 명백한 사례입니다. 이 캠페인은 설득력 있는...

    Ijony.click

    불량 웹사이트, 애드웨어
    Infosec 연구원들은 Ijony.click 페이지가 운영자가 온라인 전술을 실행하기 위한 플랫폼으로 사용하는 악성 웹사이트임을 확인했습니다. 실제로, 사이트는 방문자를 속이기 위해 평판이 좋은 정보 보안 소스에서 오는 것처럼 표시되는 수많은 가짜 보안 경고를 표시하는 것으로 관찰되었습니다. 이러한 의심스러운 페이지는 종종 합법적인 컴퓨터 보안...

    검색 홈 검색 탭

    잠재적으로 원하지 않는 프로그램, 브라우저 하이재커
    잠재적으로 원치 않는 프로그램(PUP)은 온라인 안전과 사용자 개인 정보 보호에 심각한 위협으로 남아 있습니다. 유용한 도구라는 허위 광고가 종종 사용되는 이러한 프로그램은 눈에 띄지 않게 시스템에 침투하여 은밀하게 다양한 침해 행위를 수행할 수 있습니다. 이러한 사례 중 하나는 검색 환경 개선을 제공한다는 명목으로 크롬 사용자를 겨냥하는 Search...

    가장 많이 본

    '프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

    문제
    59,468
    프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

    문제
    46,620
    처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

    Discord가 회색 화면에 멈춤

    문제
    45,921
    때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
    로드 중...