Izsiljevalska programska oprema Pay2Key.I2P

Zaradi naraščajočih napetosti med Iranom, Izraelom in ZDA se je ponovno pojavila sofisticirana operacija izsiljevalske programske opreme kot storitve (RaaS) z imenom Pay2Key.I2P. Ta finančno motivirana, a ideološko usmerjena kampanja, ki jo podpirajo iranski interesi, ponuja večje spodbude za kibernetske kriminalce, ki ciljajo na Izrael in Združene države. Posodobljena različica je uvedla nove infrastrukturne taktike in razširila svoje ciljne zmogljivosti, kar pomeni zaskrbljujoč razvoj na področju izsiljevalske programske opreme.

Znana grožnja z novim obrazom

Pay2Key, ki je bil prvič povezan z napadi oktobra 2020, je že dolgo povezan z operacijami, ki jih sponzorira iranska država. Njegova najnovejša inkarnacija, Pay2Key.I2P, naj bi bila povezana s Fox Kitten (znano tudi kot Lemon Sandstorm), znano skupino za napredne vztrajne grožnje (APT). Omeniti velja, da naj bi ta kampanja izkoriščala ali vključevala funkcije izsiljevalske programske opreme Mimic, kar povečuje njeno prefinjenost.

Posodobljen model RaaS zdaj ponuja 80-odstotni delež dobička, kar je povečanje s prejšnjih 70 %, zlasti za podružnice, ki so povezane z iranskimi interesi ali tistimi, ki so pripravljene izvajati napade na iranske nasprotnike. Ta premik kaže na jasno mešanico finančnih in ideoloških motivacij.

Vzpon platforme RaaS, ki temelji na I2P

Kar loči Pay2Key.I2P od drugih, je uporaba projekta Invisible Internet Project (I2P) za gostovanje celotne infrastrukture. Medtem ko nekatere družine zlonamerne programske opreme uporabljajo I2P za funkcije vodenja in nadzora (C2), je Pay2Key.I2P prva znana operacija RaaS, ki v celoti deluje znotraj tega anonimiziranega omrežja. To doda plast prikritosti in odpornosti, ki otežuje prizadevanja organov pregona za njihovo odstranitev.

Februarja 2025 je skupina zahtevala več kot 51 uspešnih plačil odkupnine, kar je ustvarilo več kot 4 milijone dolarjev skupnih prihodkov, posamezni operaterji pa so zaslužili kar 100.000 dolarjev. Te številke poudarjajo obseg in uspeh operacije v kratkem časovnem okviru.

Posebej opazen dogodek se je zgodil 20. februarja 2025, ko je uporabnik temnega spleta z vzdevkom »Isreactive« oglaševal izsiljevalsko programsko opremo na ruskem forumu o kibernetski kriminaliteti. Objava je vsakomur omogočila namestitev binarne datoteke za izplačilo 20.000 dolarjev na uspešen napad, kar je sprožilo premik v dinamiki RaaS, saj je omogočilo širšo udeležbo in večji pridelek za razvijalce.

Tehnični napredek in prikrite zmogljivosti

Pay2Key.I2P se nenehno izpopolnjuje, pri čemer je graditelj izsiljevalske programske opreme od junija 2025 pridobil zmogljivosti ciljanja na Linux. Njegova različica za Windows se distribuira kot izvršljiva datoteka v samoraztegljivem (SFX) arhivu in uporablja napredne tehnike za izogibanje zaznavanju.

Nekatere ključne značilnosti vključujejo:

• Onemogočanje protivirusnega programa Microsoft Defender med izvajanjem

• Brisanje zlonamernih artefaktov za zmanjšanje forenzičnega odtisa

Uporaba prikritih koristnih podatkov, kot so izvedljive datoteke, ki se maskirajo kot dokumenti Microsoft Word, nato pa sprožijo skripte cmd, ki začnejo postopek šifriranja in pošljejo sporočila z zahtevo za odkupnino

Zaradi takšnega prikritega vedenja je odkrivanje in sanacija za branilce bistveno težja.

Širša pokrajina groženj in strateške posledice

Pay2Key.I2P ni le kriminalno podjetje; predstavlja fronto za kibernetsko vojskovanje, ki je usklajena z interesi iranske države. Njeni ideološki temelji so očitni skozi ciljno usmerjene spodbude za izplačila in strateški izbor žrtev.

Ta grožnja se razvija v ozadju zaostrenih geopolitičnih napetosti. Po ameriških zračnih napadih na iranske jedrske objekte so ameriške obveščevalne agencije izdale opozorila o morebitnih povračilnih kibernetskih napadih. Med majem in junijem 2025 so raziskovalci zabeležili 28 kibernetskih napadov, ki jih je pripisal Iran, osredotočenih predvsem na ameriški prometni in proizvodni sektor.

Med pomembne iranske skupine APT, ki stojijo za temi kampanjami, spadajo:

• Blatna voda
• APT33
• Naftna ploščad
• Kibernetski Av3ngers
• Lisji mucek
• Domovinska pravičnost

Ti akterji vse bolj ciljajo na industrijsko in kritično infrastrukturo tako v ZDA kot v zavezniških državah, kar poudarja nujno potrebo po izboljšani kibernetski varnosti.

Zaključek: Pripravite se na razvijajočo se grožnjo

Pay2Key.I2P je oster opomnik na to, kako se grožnje izsiljevalske programske opreme razvijajo v orodja geopolitičnega vpliva in kibernetskega vojskovanja. S tehnično dovršenostjo, visokimi nagradami za partnerje in ideološkimi motivacijami ta kampanja ne govori le o denarju, temveč o moči in motnjah. Organizacije, zlasti tiste v kritičnih sektorjih, morajo ostati pozorne, zagotoviti, da so sistemske ranljivosti popravljene, in izvajati proaktivne obrambne strategije za boj proti tej nastajajoči grožnji.