Oferta rabatowa na wiele licencji
Baza danych zagrożeń Oprogramowanie wymuszające okup Oprogramowanie ransomware Pay2Key.I2P

Oprogramowanie ransomware Pay2Key.I2P

Do Mezo w Oprogramowanie wymuszające okup, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

W obliczu eskalacji napięć między Iranem, Izraelem i Stanami Zjednoczonymi, ponownie pojawiła się zaawansowana operacja ransomware-as-a-Service (RaaS) o nazwie Pay2Key.I2P. Wspierana przez irańskie interesy, ta motywowana finansowo, ale jednocześnie ideologicznie kampania oferuje cyberprzestępcom jeszcze większe korzyści, atakując Izrael i Stany Zjednoczone. Zaktualizowana wersja wprowadziła nowe taktyki infrastrukturalne i rozszerzyła możliwości ataków, co stanowi niepokojącą ewolucję w krajobrazie ransomware.

Znane zagrożenie z nową twarzą

Po raz pierwszy powiązany z atakami w październiku 2020 roku, Pay2Key od dawna jest kojarzony z operacjami sponsorowanymi przez irańskie państwo. Jego najnowsza wersja, Pay2Key.I2P, jest prawdopodobnie powiązana z Fox Kitten (znanym również jako Lemon Sandstorm), znaną grupą APT (Advanced Persistent Threat). Co istotne, kampania ta prawdopodobnie wykorzystuje lub integruje funkcje ransomware Mimic, co zwiększa jej wyrafinowanie.

Zaktualizowany model RaaS oferuje teraz 80% udziału w zyskach, co stanowi wzrost w porównaniu z poprzednimi 70%, szczególnie w przypadku podmiotów powiązanych z interesami Iranu lub tych, które są gotowe przeprowadzać ataki na przeciwników Iranu. Ta zmiana wyraźnie pokazuje połączenie motywacji finansowych i ideologicznych.

Rozwój platformy RaaS opartej na I2P

Cechą wyróżniającą Pay2Key.I2P jest wykorzystanie Invisible Internet Project (I2P) do hostowania całej infrastruktury. Podczas gdy niektóre rodziny złośliwego oprogramowania wykorzystywały I2P do obsługi funkcji Command-and-Control (C2), Pay2Key.I2P jest pierwszą znaną operacją RaaS, która działa w pełni w tej anonimowej sieci. Dodaje to warstwę ukrycia i odporności, co komplikuje działania organów ścigania w zakresie eliminowania zagrożeń.

W lutym 2025 roku grupa odebrała ponad 51 udanych prób wypłacenia okupu, generując łączny przychód w wysokości ponad 4 milionów dolarów, a poszczególni operatorzy zarobili nawet 100 000 dolarów. Liczby te podkreślają skalę i sukces operacji w tak krótkim czasie.

Szczególnie godne uwagi wydarzenie miało miejsce 20 lutego 2025 roku, kiedy użytkownik darknetu o pseudonimie „Isreactive” zareklamował ransomware na rosyjskim forum cyberprzestępców. Post umożliwiał każdemu wdrożenie pliku binarnego za wypłatę 20 000 dolarów za każdy udany atak, zapoczątkowując zmianę w dynamice RaaS (RaaS), umożliwiając szersze uczestnictwo i większe przychody dla deweloperów.

Postęp techniczny i możliwości stealth

Pay2Key.I2P jest stale udoskonalany, a od czerwca 2025 r. ten program do tworzenia ransomware zyskuje możliwość atakowania systemu Linux. Jego wariant dla systemu Windows jest dystrybuowany jako plik wykonywalny w samorozpakowującym się archiwum (SFX), wykorzystującym zaawansowane techniki omijania zabezpieczeń.

Niektóre kluczowe cechy obejmują:

  • Wyłączanie programu antywirusowego Microsoft Defender podczas wykonywania
  • Usuwanie szkodliwych artefaktów w celu zmniejszenia śladu kryminalistycznego

Korzystanie z ukrytych ładunków, takich jak pliki wykonywalne podszywające się pod dokumenty Microsoft Word, które następnie uruchamiają skrypty cmd, aby rozpocząć proces szyfrowania i wysyłać żądania okupu

Tego rodzaju ukryte zachowania znacznie utrudniają obrońcom wykrycie i podjęcie działań naprawczych.

Szerszy krajobraz zagrożeń i implikacje strategiczne

Pay2Key.I2P to coś więcej niż tylko przedsięwzięcie przestępcze; to front cyberwojny, który jest zgodny z interesami państwa irańskiego. Jego ideologiczne podstawy są widoczne w ukierunkowanych zachętach do wypłaty i strategicznym doborze ofiar.

Zagrożenie to narasta w kontekście narastających napięć geopolitycznych. Po amerykańskich nalotach na irańskie obiekty jądrowe, amerykańskie agencje wywiadowcze wydały ostrzeżenia przed możliwymi odwetowymi cyberatakami. Między majem a czerwcem 2025 roku badacze odnotowali 28 cyberataków przypisywanych Iranowi, skoncentrowanych głównie na amerykańskim sektorze transportu i produkcji.

Do głównych irańskich grup APT stojących za tymi kampaniami należą:

  • MuddyWater
  • APT33
  • Platforma wiertnicza
  • Cybernetyczni agresorzy
  • Kociak lis
  • Sprawiedliwość Ojczyzny

Coraz częściej celem ataków stają się infrastruktura przemysłowa i krytyczna zarówno w USA, jak i w państwach sojuszniczych, co uwydatnia pilną potrzebę poprawy cyberbezpieczeństwa.

Wnioski: Przygotuj się na zmieniające się zagrożenie

Pay2Key.I2P to dobitny dowód na to, jak zagrożenia ransomware ewoluują w narzędzia geopolitycznego wpływu i cyberwojny. Z uwagi na zaawansowanie techniczne, wysokie nagrody dla partnerów i motywacje ideologiczne, w tej kampanii nie chodzi tylko o pieniądze, ale o władzę i destabilizację. Organizacje, zwłaszcza te z sektorów krytycznych, muszą zachować czujność, zapewnić łatanie luk w zabezpieczeniach systemów i wdrożyć proaktywne strategie obronne, aby zwalczać to nowe zagrożenie.

Popularne

Najczęściej oglądane

Ładowanie...