Ransomvér Pay2Key.I2P

V dôsledku eskalácie napätia medzi Iránom, Izraelom a USA sa znovu objavila sofistikovaná operácia Ransomware-as-a-Service (RaaS) s názvom Pay2Key.I2P. Táto finančne motivovaná, no ideologicky zameraná kampaň, podporovaná iránskymi záujmami, ponúka zvýšené stimuly pre kybernetických zločincov zameraných na Izrael a Spojené štáty. Aktualizovaný variant zaviedol nové infraštruktúrne taktiky a rozšíril svoje cieľové možnosti, čo predstavuje znepokojujúci vývoj v oblasti ransomvéru.

Známa hrozba s novou tvárou

Pay2Key, ktorý bol prvýkrát spájaný s útokmi v októbri 2020, je už dlho spájaný s operáciami sponzorovanými iránskym štátom. Jeho najnovšia inkarnácia, Pay2Key.I2P, je pravdepodobne spojená so skupinou Fox Kitten (známou aj ako Lemon Sandstorm), známou skupinou pokročilých perzistentných hrozieb (APT). Predovšetkým sa predpokladá, že táto kampaň využíva alebo obsahuje funkcie ransomvéru Mimic, čo zvyšuje jej sofistikovanosť.

Aktualizovaný model RaaS teraz ponúka 80 % podiel na zisku, čo je nárast oproti predchádzajúcim 70 %, a to najmä pre partnerov, ktorí sú spojení s iránskymi záujmami alebo sú ochotní vykonávať útoky proti iránskym protivníkom. Táto zmena demonštruje jasnú zmes finančných a ideologických motivácií.

Vzostup platformy RaaS založenej na I2P

Čo odlišuje Pay2Key.I2P, je jeho využitie platformy Invisible Internet Project (I2P) na hosťovanie celej jeho infraštruktúry. Zatiaľ čo niektoré rodiny malvéru využívajú I2P na funkcie velenia a riadenia (C2), Pay2Key.I2P je prvou známou operáciou RaaS, ktorá plne beží v tejto anonymizovanej sieti. To pridáva vrstvu utajenia a odolnosti, ktorá komplikuje snahy orgánov činných v trestnom konaní o ich odstránenie.

Vo februári 2025 si skupina nárokovala viac ako 51 úspešných platieb výkupného, čím vygenerovala celkové príjmy viac ako 4 milióny dolárov, pričom jednotliví prevádzkovatelia zarobili až 100 000 dolárov. Tieto čísla podčiarkujú rozsah a úspech operácie v krátkom časovom horizonte.

Obzvlášť pozoruhodná udalosť sa stala 20. februára 2025, keď používateľ darknetu s prezývkou „Isreactive“ inzeroval ransomvér na ruskom fóre o kyberkriminalite. Príspevok umožňoval komukoľvek nasadiť binárny súbor za výplatu 20 000 dolárov za úspešný útok, čo viedlo k posunu v dynamike RaaS tým, že umožnilo širšiu účasť a väčší zisk pre vývojárov.

Technický pokrok a schopnosti utajenia

Pay2Key.I2P neustále vylepšuje ransomvér, ktorý od júna 2025 získava možnosti zacielenia na Linux. Jeho variant pre Windows je distribuovaný ako spustiteľný súbor v samorozbaľovacom (SFX) archíve a využíva pokročilé techniky na obídenie detekcie.

Medzi niektoré kľúčové vlastnosti patria:

• Zakázanie antivírusového programu Microsoft Defender počas jeho vykonávania

• Vymazanie škodlivých artefaktov na zníženie forenznej stopy

Používanie maskovaných dátových súborov, ako sú spustiteľné súbory maskované ako dokumenty programu Microsoft Word, ktoré potom spúšťajú skripty cmd na spustenie procesu šifrovania a odosielanie výkupných správ

Toto nenápadné správanie výrazne sťažuje obrancom odhaľovanie a nápravu.

Širšia situácia s hrozbami a strategické dôsledky

Pay2Key.I2P je viac než len zločinecký podnik; predstavuje front kybernetickej vojny, ktorý je v súlade so záujmami iránskeho štátu. Jeho ideologické základy sú zrejmé z cielených výplatných stimulov a strategického výberu obetí.

Táto hrozba sa rozvíja na pozadí zvýšeného geopolitického napätia. Po amerických leteckých útokoch na iránske jadrové zariadenia vydali americké spravodajské služby varovania pred možnými odvetnými kybernetickými útokmi. Medzi májom a júnom 2025 výskumníci zaznamenali 28 kybernetických útokov pripisovaných Iránu, zameraných predovšetkým na americký dopravný a výrobný sektor.

Medzi významné iránske skupiny APT, ktoré stoja za týmito kampaňami, patria:

• Kalná voda
• APT33
• Ropná plošina
• Kybernetickí Av3ngeri
• Líščie mačiatko
• Spravodlivosť vlasti

Títo aktéri sa čoraz viac zameriavajú na priemyselnú a kritickú infraštruktúru v USA aj v spojeneckých krajinách, čo zdôrazňuje naliehavú potrebu zlepšenia kybernetickej obrany.

Záver: Pripravte sa na meniacu sa hrozbu

Pay2Key.I2P je drsnou pripomienkou toho, ako sa hrozby ransomvéru vyvíjajú na nástroje geopolitického vplyvu a kybernetickej vojny. Vďaka technickej sofistikovanosti, vysokým odmenám pre partnerov a ideologickým motiváciám nie je táto kampaň len o peniazoch, ale aj o moci a narušení. Organizácie, najmä tie v kritických sektoroch, musia zostať ostražití, zabezpečiť opravu zraniteľností systému a implementovať proaktívne obranné stratégie na boj proti tejto vznikajúcej hrozbe.