Скидка на мультилицензию
База данных угроз Программы-вымогатели Pay2Key.I2P Программа-вымогатель

Pay2Key.I2P Программа-вымогатель

К Mezo году в Программы-вымогатели, Расширенная постоянная угроза (APT) году
Перевести на:

На фоне эскалации напряженности между Ираном, Израилем и США вновь появилась сложная операция Pay2Key.I2P, предлагающая программы-вымогатели как услугу (RaaS). Эта финансово мотивированная, но идеологически мотивированная кампания, поддерживаемая иранскими интересами, предлагает киберпреступникам, нацеленным на Израиль и США, дополнительные стимулы. В обновленной версии используются новые инфраструктурные тактики и расширены возможности выбора целей, что знаменует собой тревожную эволюцию в ландшафте программ-вымогателей.

Знакомая угроза с новым лицом

Впервые обнаруженная в ходе атак в октябре 2020 года, Pay2Key давно ассоциируется с операциями, спонсируемыми иранским государством. Считается, что её последняя версия, Pay2Key.I2P, связана с Fox Kitten (также известной как Lemon Sandstorm), известной группой, представляющей собой продвинутую постоянную угрозу (APT). Примечательно, что эта кампания, как полагают, использует или включает в себя функции вируса-вымогателя Mimic, что делает её ещё более изощрённой.

Обновлённая модель RaaS теперь предлагает 80%-ную долю прибыли, что выше прежних 70%, в частности, компаниям, связанным с иранскими интересами или готовым проводить атаки на противников Ирана. Этот сдвиг демонстрирует явное сочетание финансовых и идеологических мотивов.

Расцвет платформы RaaS на базе I2P

Отличительной особенностью Pay2Key.I2P является использование I2P (Invisible Internet Project) для размещения всей своей инфраструктуры. В то время как некоторые семейства вредоносных программ используют I2P для функций управления и контроля (C2), Pay2Key.I2P — первая известная операция RaaS, полностью реализованная в этой анонимной сети. Это добавляет уровень скрытности и устойчивости, что затрудняет действия правоохранительных органов по пресечению атак.

В феврале 2025 года группировка заявила о более чем 51 успешном платеже выкупа, что принесло общий доход более 4 миллионов долларов, а отдельные операторы заработали до 100 000 долларов. Эти цифры подчеркивают масштаб и успешность операции за короткий период времени.

Особенно примечательное событие произошло 20 февраля 2025 года, когда пользователь даркнета под псевдонимом Isreactive разместил рекламу программы-вымогателя на российском форуме, посвящённом киберпреступности. Публикация позволяла любому желающему установить исполняемый файл с выплатой в размере 20 000 долларов США за успешную атаку, что ознаменовало собой изменение динамики развития RaaS, позволив разработчикам расширить своё участие и увеличить доход.

Технические достижения и возможности скрытности

Pay2Key.I2P постоянно совершенствуется: с июня 2025 года конструктор программ-вымогателей получил возможность атаковать Linux. Его версия для Windows распространяется в виде исполняемого файла в самораспаковывающемся архиве (SFX) с использованием передовых методов обхода обнаружения.

Некоторые ключевые особенности включают в себя:

  • Отключение антивируса Microsoft Defender во время выполнения
  • Удаление вредоносных артефактов для уменьшения криминалистического следа

Использование замаскированных полезных нагрузок, таких как исполняемые файлы, маскирующиеся под документы Microsoft Word, которые затем запускают скрипты cmd для начала процесса шифрования и сбрасывания записок с требованием выкупа.

Такое скрытное поведение значительно затрудняет обнаружение и устранение последствий для защитников.

Более широкий ландшафт угроз и стратегические последствия

Pay2Key.I2P — это не просто преступная организация, а фронт кибервойны, действующий в интересах иранского государства. Его идеологическая подоплека очевидна благодаря целенаправленным выплатам и стратегическому выбору жертв.

Эта угроза развивается на фоне обострения геополитической напряжённости. После американских авиаударов по иранским ядерным объектам американские спецслужбы выпустили предупреждения о возможных ответных кибератаках. В период с мая по июнь 2025 года исследователи зафиксировали 28 кибератак, приписываемых Ирану, в основном направленных на транспортный и производственный секторы США.

Известные иранские APT-группы, стоящие за этими кампаниями:

  • MuddyWater
  • АПТ33
  • OilRig
  • Кибер-мстители
  • Лисий котенок
  • Национальная справедливость

Эти субъекты все чаще нацеливаются на промышленную и критически важную инфраструктуру как в США, так и в странах-союзниках, подчеркивая насущную необходимость в улучшении защиты от киберугроз.

Заключение: будьте готовы к меняющейся угрозе

Pay2Key.I2P — суровое напоминание о том, как программы-вымогатели превращаются в инструменты геополитического влияния и кибервойны. Благодаря технической сложности, высоким партнерским вознаграждениям и идеологической мотивации эта кампания — не только деньги, но и власть и разрушение. Организации, особенно работающие в критически важных секторах, должны сохранять бдительность, обеспечивать устранение уязвимостей в системах и внедрять проактивные стратегии защиты для борьбы с этой новой угрозой.

В тренде

Мошенничество при размещении заказа

Вредоносное ПО, Фишинг, Спам
В цифровую эпоху электронная почта остается одним из самых распространенных средств коммуникации и одним из самых злоупотребляемых. Среди бесчисленных вредоносных кампаний по электронной почте,...

Поиск Главная Вкладка поиска

Потенциально нежелательные программы, Браузерные хайджекеры
Потенциально нежелательные программы (ПНП) остаются серьезной угрозой для безопасности в Интернете и конфиденциальности пользователей. Часто обманчиво рекламируемые как полезные инструменты, эти...

Наиболее просматриваемые

Загрузка...