„Pay2Key.I2P“ išpirkos reikalaujanti programa
Didėjant įtampai tarp Irano, Izraelio ir JAV, vėl atsirado sudėtinga išpirkos reikalaujančių programų kaip paslaugos (angl. RaaS) operacija pavadinimu „Pay2Key.I2P“. Remiama Irano interesų, ši finansiškai motyvuota, tačiau ideologiškai pagrįsta kampanija suteikia daugiau paskatų kibernetiniams nusikaltėliams, taikantiems į Izraelį ir Jungtines Valstijas. Atnaujintoje variante įdiegta nauja infrastruktūros taktika ir išplėstos taikinių galimybės, o tai žymi nerimą keliančią išpirkos reikalaujančių programų aplinkos raidą.
Turinys
Pažįstama grėsmė su nauju veidu
Pirmą kartą susieta su 2020 m. spalio mėn. išpuoliais, „Pay2Key“ jau seniai siejama su Irano valstybės remiamomis operacijomis. Manoma, kad naujausia jos versija „Pay2Key.I2P“ yra susijusi su „Fox Kitten“ (taip pat žinoma kaip „Lemon Sandstorm“) – žinoma pažangių nuolatinių grėsmių (APT) grupe. Pažymėtina, kad ši kampanija, kaip manoma, naudoja arba įtraukia išpirkos reikalaujančios programinės įrangos „Mimic“ funkcijas, taip padidindama jos sudėtingumą.
Atnaujintame „RaaS“ modelyje dabar siūloma 80 % pelno dalis, palyginti su ankstesniais 70 %, specialiai tiems filialams, kurie atitinka Irano interesus arba nori vykdyti išpuolius prieš Irano priešininkus. Šis pokytis rodo aiškų finansinių ir ideologinių motyvų derinį.
I2P pagrindu sukurtos RaaS platformos iškilimas
„Pay2Key.I2P“ išsiskiria tuo, kad visai savo infrastruktūrai talpinti naudoja „Invisible Internet Project“ (I2P). Nors kai kurios kenkėjiškų programų šeimos naudojo I2P komandų ir valdymo (C2) funkcijoms, „Pay2Key.I2P“ yra pirmoji žinoma „RaaS“ operacija, visiškai veikianti šiame anonimizuotame tinkle. Tai suteikia slaptumo ir atsparumo sluoksnį, kuris apsunkina teisėsaugos institucijų pastangas pašalinti virusus.
2025 m. vasarį grupė pareiškė, kad sėkmingai sumokėjo daugiau nei 51 išpirką, o bendros pajamos viršijo 4 mln. USD, o atskiri operatoriai uždirbo net 100 000 USD. Šie skaičiai pabrėžia operacijos mastą ir sėkmę per trumpą laiką.
Ypač pastebimas įvykis įvyko 2025 m. vasario 20 d., kai tamsiojo interneto vartotojas, prisistatęs slapyvardžiu „Isreactive“, reklamavo išpirkos reikalaujančią programinę įrangą Rusijos kibernetinių nusikaltimų forume. Šis įrašas leido bet kam dislokuoti dvejetainį failą už 20 000 USD išmoką už kiekvieną sėkmingą ataką, taip pradėdamas RaaS dinamikos pokytį, suteikdamas platesniam dalyvavimui galimybę ir didesnes pajamas kūrėjams.
Techninė pažanga ir slaptos galimybės
„Pay2Key.I2P“ nuolat tobulinamas, o nuo 2025 m. birželio mėn. išpirkos reikalaujančių programų kūrėjas įgijo galimybes atakuoti „Linux“ sistemas. Jo „Windows“ variantas platinamas kaip vykdomasis failas savaiminio išpakavimo (SFX) archyve, naudojant pažangias aptikimo apėjimo technikas.
Kai kurios pagrindinės funkcijos:
Naudojant užmaskuotas programas, pvz., vykdomuosius failus, maskuojamus kaip „Microsoft Word“ dokumentus, kurie tada aktyvuoja cmd scenarijus, kad pradėtų šifravimo procesą ir pateiktų išpirkos reikalaujančius pranešimus.
Toks slaptas elgesys gynėjams gerokai apsunkina aptikimą ir taisomąsias priemones.
Platesnis grėsmių kraštovaizdis ir strateginės pasekmės
„Pay2Key.I2P“ yra daugiau nei nusikalstama įmonė; tai kibernetinio karo frontas, atitinkantis Irano valstybės interesus. Jos ideologiniai pagrindai akivaizdūs per tikslines išmokų paskatas ir strateginę aukų atranką.
Ši grėsmė kyla didėjant geopolitinei įtampai. Po Amerikos aviacijos smūgių Irano branduoliniams objektams JAV žvalgybos agentūros paskelbė įspėjimus apie galimas atsakomąsias kibernetines atakas. Nuo 2025 m. gegužės iki birželio mėn. tyrėjai užfiksavo 28 Iranui priskiriamas kibernetines atakas, daugiausia nukreiptas į JAV transporto ir gamybos sektorius.
Už šių kampanijų stovi šios žinomos Irano APT grupuotės:
- Purvinas vanduo
- APT33
- Naftos platforma
- Kibernetiniai Av3ngers
- Lapės kačiukas
- Tėvynės teisingumas
Šie veikėjai vis dažniau taikosi į pramonės ir ypatingos svarbos infrastruktūrą tiek JAV, tiek sąjungininkėse, pabrėždami neatidėliotiną poreikį gerinti kibernetinio saugumo apsaugą.
Išvada: pasiruoškite besivystančiai grėsmei
„Pay2Key.I2P“ yra rimtas priminimas, kaip išpirkos reikalaujančios programinės įrangos grėsmės tampa geopolitinės įtakos ir kibernetinio karo įrankiais. Dėl techninių ypatumų, didelių partnerių atlygių ir ideologinių motyvų ši kampanija yra ne tik apie pinigus, bet ir apie galią bei sutrikdymus. Organizacijos, ypač tos, kurios veikia svarbiausiuose sektoriuose, turi išlikti budrios, užtikrinti, kad sistemos pažeidžiamumai būtų pašalinti, ir įgyvendinti aktyvias gynybos strategijas, kad kovotų su šia kylančia grėsme.
