Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Ransomware-ul Pay2Key.I2P

Ransomware-ul Pay2Key.I2P

Până în Mezo în Ransomware, Amenințare persistentă avansată (APT)
Tradu in:

În urma escaladării tensiunilor dintre Iran, Israel și SUA, a reapărut o operațiune sofisticată de tip Ransomware-as-a-Service (RaaS) numită Pay2Key.I2P. Susținută de interese iraniene, această campanie motivată financiar, dar ideologic, oferă stimulente sporite infractorilor cibernetici care vizează Israelul și Statele Unite. Varianta actualizată a introdus noi tactici de infrastructură și și-a extins capacitățile țintelor, marcând o evoluție îngrijorătoare în peisajul ransomware.

O amenințare familiară cu o față nouă

Inițial asociată cu atacuri din octombrie 2020, Pay2Key a fost mult timp asociată cu operațiuni sponsorizate de statul iranian. Se crede că cea mai recentă încarnare a sa, Pay2Key.I2P, este conectată la Fox Kitten (cunoscut și sub numele de Lemon Sandstorm), un grup de amenințări persistente avansate (APT) cunoscut. În special, se crede că această campanie valorifică sau încorporează caracteristici ale ransomware-ului Mimic, contribuind la sofisticarea sa.

Modelul RaaS actualizat oferă acum o cotă de profit de 80%, o creștere față de 70%, cât era anterior, în special afiliaților aliniați cu interesele iraniene sau celor dispuși să comită atacuri împotriva adversarilor Iranului. Această schimbare demonstrează o combinație clară de motivații financiare și ideologice.

Ascensiunea platformei RaaS bazate pe I2P

Ceea ce diferențiază Pay2Key.I2P este utilizarea Invisible Internet Project (I2P) pentru găzduirea întregii sale infrastructuri. În timp ce unele familii de programe malware au utilizat I2P pentru funcții de comandă și control (C2), Pay2Key.I2P este prima operațiune RaaS cunoscută care rulează complet în cadrul acestei rețele anonimizate. Acest lucru adaugă un nivel de stealth și rezistență care complică eforturile de eliminare de către forțele de ordine.

În februarie 2025, grupul a revendicat peste 51 de plăți de răscumpărare cu succes, generând venituri totale de peste 4 milioane de dolari, iar operatorii individuali au câștigat până la 100.000 de dolari. Aceste cifre subliniază amploarea și succesul operațiunii într-un interval de timp scurt.

Un eveniment deosebit de notabil a avut loc pe 20 februarie 2025, când un utilizator darknet care folosea aliasul „Isreactive” a promovat ransomware-ul pe un forum rusesc despre criminalitate cibernetică. Postarea permitea oricui să implementeze fișierul binar pentru o plată de 20.000 de dolari pentru fiecare atac reușit, inaugurând o schimbare în dinamica RaaS, permițând o participare mai largă și o captare mai mare de venituri pentru dezvoltatori.

Progrese tehnice și capacități Stealth

Pay2Key.I2P demonstrează o rafinare constantă, constructorul de ransomware dobândind capacități de direcționare Linux începând cu iunie 2025. Varianta sa pentru Windows este distribuită ca un executabil într-o arhivă autoextracbilă (SFX), folosind tehnici avansate pentru a ocoli detectarea.

Printre caracteristicile cheie se numără:

  • Dezactivarea antivirusului Microsoft Defender în timpul execuției
  • Ștergerea artefactelor malițioase pentru a reduce amprenta criminalistică

Utilizarea unor sarcini utile deghizate, cum ar fi fișiere executabile deghizate în documente Microsoft Word, care apoi declanșează scripturi cmd pentru a începe procesul de criptare și a plasa note de recompensă

Aceste comportamente ascunse fac detectarea și remedierea semnificativ mai dificile pentru apărători.

Un peisaj mai larg al amenințărilor și implicații strategice

Pay2Key.I2P este mai mult decât o simplă întreprindere criminală; reprezintă un front de război cibernetic aliniat cu interesele statului iranian. Bazele sale ideologice sunt evidente prin stimulentele sale specifice pentru plăți și selecția strategică a victimelor.

Această amenințare se desfășoară pe fondul unor tensiuni geopolitice sporite. În urma atacurilor aeriene americane asupra instalațiilor nucleare iraniene, agențiile de informații americane au emis avertismente cu privire la posibile atacuri cibernetice de represalii. Între mai și iunie 2025, cercetătorii au înregistrat 28 de atacuri cibernetice atribuite Iranului, concentrate în principal asupra sectoarelor de transport și producție din SUA.

Printre grupurile APT iraniene proeminente din spatele acestor campanii se numără:

  • Apă Noroioasă
  • APT33
  • Platformă petrolieră
  • Cyber Avânători
  • Pisicuță Vulpe
  • Justiție Internă

Acești actori vizează din ce în ce mai mult infrastructura industrială și critică atât în SUA, cât și în națiunile aliate, subliniind nevoia urgentă de îmbunătățire a apărării în domeniul securității cibernetice.

Concluzie: Pregătiți-vă pentru o amenințare în continuă evoluție

Pay2Key.I2P este o amintire puternică a modului în care amenințările ransomware evoluează în instrumente de influență geopolitică și război cibernetic. Cu sofisticare tehnică, recompense mari pentru afiliați și motivații ideologice, această campanie nu este doar despre bani, ci despre putere și perturbări. Organizațiile, în special cele din sectoare critice, trebuie să rămână vigilente, să se asigure că vulnerabilitățile sistemului sunt remediate și să implementeze strategii proactive de apărare pentru a combate această amenințare emergentă.

Trending

Cele mai văzute

Se încarcă...