Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Pay2Key.I2P-ransomware

Pay2Key.I2P-ransomware

Tegen Mezo in Ransomware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

In de nasleep van de escalerende spanningen tussen Iran, Israël en de VS is een geavanceerde Ransomware-as-a-Service (RaaS)-operatie genaamd Pay2Key.I2P opnieuw opgedoken. Deze financieel gemotiveerde, maar ideologisch gedreven campagne, gesteund door Iraanse belangen, biedt cybercriminelen die zich op Israël en de Verenigde Staten richten, extra prikkels. De vernieuwde variant heeft nieuwe infrastructuurtactieken geïntroduceerd en de aanvalsmogelijkheden uitgebreid, wat een zorgwekkende evolutie in het ransomwarelandschap markeert.

Een bekende bedreiging met een nieuw gezicht

Pay2Key, dat voor het eerst in verband werd gebracht met aanvallen in oktober 2020, wordt al lang geassocieerd met door de Iraanse staat gesponsorde operaties. De nieuwste versie, Pay2Key.I2P, zou verband houden met Fox Kitten (ook bekend als Lemon Sandstorm), een bekende groepering voor geavanceerde persistente dreigingen (APT). Opvallend is dat deze campagne naar verluidt functies van de Mimic-ransomware gebruikt of integreert, wat de ransomware nog geavanceerder maakt.

Het vernieuwde RaaS-model biedt nu een winstdeling van 80%, een stijging ten opzichte van de vorige 70%, specifiek voor partners die verbonden zijn met Iraanse belangen of bereid zijn aanvallen uit te voeren op Iraanse tegenstanders. Deze verschuiving toont een duidelijke mix van financiële en ideologische motivaties.

De opkomst van het I2P-gebaseerde RaaS-platform

Wat Pay2Key.I2P onderscheidt, is het gebruik van het Invisible Internet Project (I2P) voor het hosten van de volledige infrastructuur. Hoewel sommige malwarefamilies I2P hebben gebruikt voor Command-and-Control (C2)-functies, is Pay2Key.I2P de eerste bekende RaaS-operatie die volledig binnen dit geanonimiseerde netwerk draait. Dit voegt een laag van stealth en veerkracht toe die het verwijderen van malware door wetshandhaving bemoeilijkt.

In februari 2025 claimde de groep meer dan 51 succesvolle losgeldbetalingen, goed voor een totale omzet van meer dan $ 4 miljoen, waarbij individuele exploitanten tot wel $ 100.000 verdienden. Deze cijfers onderstrepen de omvang en het succes van de operatie in een kort tijdsbestek.

Een bijzonder opmerkelijke gebeurtenis vond plaats op 20 februari 2025, toen een darknetgebruiker die de alias 'Isreactive' gebruikte, de ransomware aanprees op een Russisch cybercrimeforum. Iedereen kon de binaire code installeren voor een uitbetaling van $ 20.000 per succesvolle aanval. Dit luidde een verandering in de RaaS-dynamiek in door bredere deelname en hogere inkomsten voor ontwikkelaars mogelijk te maken.

Technische vooruitgang en stealth-mogelijkheden

Pay2Key.I2P wordt voortdurend verbeterd; sinds juni 2025 beschikt de ransomware-bouwer over mogelijkheden om Linux-targeting toe te passen. De Windows-variant wordt gedistribueerd als uitvoerbaar bestand in een zelfuitpakkend (SFX) archief, waarbij geavanceerde technieken worden gebruikt om detectie te omzeilen.

Enkele belangrijke kenmerken zijn:

  • Microsoft Defender Antivirus uitschakelen tijdens de uitvoering
  • Het wissen van kwaadaardige artefacten om de forensische voetafdruk te verkleinen

    • Het gebruiken van gecamoufleerde payloads, zoals uitvoerbare bestanden die zich voordoen als Microsoft Word-documenten, die vervolgens cmd-scripts activeren om het versleutelingsproces te starten en losgeldberichten achter te laten

    Deze sluipende gedragingen maken het voor verdedigers aanzienlijk moeilijker om deze te detecteren en te verhelpen.

    Een breder dreigingslandschap en strategische implicaties

    Pay2Key.I2P is meer dan alleen een criminele onderneming; het vertegenwoordigt een cyberoorlogsfront dat aansluit bij de belangen van de Iraanse staat. De ideologische basis ervan blijkt uit de gerichte uitbetalingsprikkels en strategische slachtofferselectie.

    Deze dreiging speelt zich af tegen een achtergrond van toegenomen geopolitieke spanningen. Na Amerikaanse luchtaanvallen op Iraanse nucleaire installaties hebben Amerikaanse inlichtingendiensten gewaarschuwd voor mogelijke cyberaanvallen. Tussen mei en juni 2025 registreerden onderzoekers 28 cyberaanvallen met Iraanse achtergrond, voornamelijk gericht op de Amerikaanse transport- en productiesector.

    Belangrijke Iraanse APT-groepen achter deze campagnes zijn onder meer:

    • Modderig water
    • APT33
    • Boorplatform
    • Cyber Av3ngers
    • Vos Kitten
    • Binnenlandse gerechtigheid

    Deze actoren richten zich steeds vaker op industriële en kritieke infrastructuur in de VS en geallieerde landen, wat de dringende behoefte aan betere cyberbeveiliging onderstreept.

    Conclusie: bereid je voor op een evoluerende dreiging

    Pay2Key.I2P is een grimmige herinnering aan hoe ransomware-dreigingen zich ontwikkelen tot instrumenten voor geopolitieke beïnvloeding en cyberoorlogvoering. Met technische verfijning, hoge affiliate beloningen en ideologische motieven draait deze campagne niet alleen om geld, maar ook om macht en ontwrichting. Organisaties, met name in kritieke sectoren, moeten waakzaam blijven, ervoor zorgen dat systeemkwetsbaarheden worden gepatcht en proactieve verdedigingsstrategieën implementeren om deze opkomende bedreiging te bestrijden.

    Trending

    Meest bekeken

    Bezig met laden...