Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare Pay2Key.I2P ransomware

Pay2Key.I2P ransomware

Med Mezo i løsepengeprogramvare, Advanced Persistent Threat (APT)
Oversett til:

I kjølvannet av økende spenninger mellom Iran, Israel og USA har en sofistikert Ransomware-as-a-Service (RaaS)-operasjon kalt Pay2Key.I2P dukket opp igjen. Støttet av iranske interesser, tilbyr denne økonomisk motiverte, men ideologisk drevne kampanjen økte insentiver for nettkriminelle som retter seg mot Israel og USA. Den oppdaterte varianten har introdusert nye infrastrukturtaktikker og utvidet målfunksjonene, noe som markerer en bekymringsfull utvikling i ransomware-landskapet.

En kjent trussel med et nytt ansikt

Pay2Key, som først ble koblet til angrep i oktober 2020, har lenge vært assosiert med iranske statsstøttede operasjoner. Den nyeste inkarnasjonen, Pay2Key.I2P, antas å være koblet til Fox Kitten (også kjent som Lemon Sandstorm), en kjent gruppe for avanserte vedvarende trusler (APT). Det er verdt å merke seg at denne kampanjen antas å utnytte eller innlemme funksjoner fra Mimic-ransomware, noe som bidrar til sofistikeringen.

Den oppdaterte RaaS-modellen tilbyr nå en profittandel på 80 %, en økning fra de tidligere 70 %, spesielt til tilknyttede selskaper som er knyttet til iranske interesser eller de som er villige til å utføre angrep mot Irans motstandere. Dette skiftet demonstrerer en klar blanding av økonomiske og ideologiske motivasjoner.

Fremveksten av den I2P-baserte RaaS-plattformen

Det som skiller Pay2Key.I2P fra andre er bruken av Invisible Internet Project (I2P) for å være vert for hele infrastrukturen. Mens noen skadevarefamilier har brukt I2P for kommando-og-kontroll (C2)-funksjoner, er Pay2Key.I2P den første kjente RaaS-operasjonen som kjører fullt ut innenfor dette anonymiserte nettverket. Dette legger til et lag med skjulthet og robusthet som kompliserer politiets innsats for å fjerne det.

I februar 2025 krevde gruppen over 51 vellykkede løsepengebetalinger, noe som genererte mer enn 4 millioner dollar i total inntekt, hvor individuelle operatører tjente så mye som 100 000 dollar. Disse tallene understreker omfanget og suksessen til operasjonen innen kort tid.

En spesielt bemerkelsesverdig hendelse fant sted 20. februar 2025, da en darknet-bruker som gikk under aliaset «Isreactive» annonserte ransomware-filen på et russisk forum for nettkriminalitet. Innlegget tillot hvem som helst å distribuere binærfilen mot en utbetaling på 20 000 dollar per vellykket angrep, noe som innledet et skifte i RaaS-dynamikken ved å muliggjøre bredere deltakelse og større inntektsfangst for utviklere.

Tekniske fremskritt og skjulte muligheter

Pay2Key.I2P viser konstant forbedring, og ransomware-byggeren får Linux-målrettingsmuligheter fra juni 2025. Windows-varianten distribueres som en kjørbar fil i et selvutpakkende (SFX) arkiv, ved hjelp av avanserte teknikker for å omgå deteksjon.

Noen viktige funksjoner inkluderer:

  • Deaktivering av Microsoft Defender Antivirus under kjøring
  • Sletting av skadelige gjenstander for å redusere det rettsmedisinske fotavtrykket

    • Bruk av forkledde nyttelaster, for eksempel kjørbare filer som utgir seg for å være Microsoft Word-dokumenter, som deretter utløser cmd-skript for å starte krypteringsprosessen og sende løsepengebrev

    Disse snikende oppførselene gjør det betydelig vanskeligere for forsvarere å oppdage og utbedre.

    Et bredere trussellandskap og strategiske implikasjoner

    Pay2Key.I2P er mer enn bare et kriminelt foretak; det representerer en cyberkrigføringsfront som er i tråd med den iranske statens interesser. Dens ideologiske grunnlag er tydelig gjennom målrettede utbetalingsinsentiver og strategisk offerutvelgelse.

    Denne trusselen utfolder seg mot et bakteppe av økte geopolitiske spenninger. Etter amerikanske luftangrep på iranske atomanlegg har amerikanske etterretningstjenester utstedt advarsler om mulige gjengjeldelsesangrep i form av cyberangrep. Mellom mai og juni 2025 registrerte forskere 28 cyberangrep som ble tilskrevet Iran, hovedsakelig fokusert på transport- og produksjonssektoren i USA.

    Fremtredende iranske APT-grupper bak disse kampanjene inkluderer:

    • Gjørmetevann
    • LEILIGHET33
    • Oljerigg
    • Cyber Av3ngers
    • Revekattunge
    • Homeland Justice

    Disse aktørene retter seg i økende grad mot industriell og kritisk infrastruktur i både USA og allierte nasjoner, noe som understreker det presserende behovet for forbedret cybersikkerhetsforsvar.

    Konklusjon: Forbered deg på en utviklende trussel

    Pay2Key.I2P er en sterk påminnelse om hvordan ransomware-trusler utvikler seg til verktøy for geopolitisk påvirkning og cyberkrigføring. Med teknisk sofistikasjon, høye affiliate-belønninger og ideologiske motivasjoner handler ikke denne kampanjen bare om penger, den handler om makt og forstyrrelser. Organisasjoner, spesielt de i kritiske sektorer, må forbli årvåkne, sørge for at systemsårbarheter blir rettet og implementere proaktive forsvarsstrategier for å bekjempe denne nye trusselen.

    Trender

    Mest sett

    Laster inn...