Rabattoffert för flera licenser
Hotdatabas Ransomware Pay2Key.I2P-utpressningsviruset

Pay2Key.I2P-utpressningsviruset

Med Mezo år Ransomware, Advanced Persistent Threat (APT)
Översätt till:

I kölvattnet av eskalerande spänningar mellan Iran, Israel och USA har en sofistikerad Ransomware-as-a-Service (RaaS)-operation vid namn Pay2Key.I2P återuppstått. Denna ekonomiskt motiverade men ideologiskt drivna kampanj, som stöds av iranska intressen, erbjuder ökade incitament för cyberbrottslingar som riktar in sig på Israel och USA. Den uppdaterade varianten har introducerat nya infrastrukturtaktik och utökat sina målmöjligheter, vilket markerar en oroande utveckling i ransomware-landskapet.

Ett välbekant hot med ett nytt ansikte

Pay2Key, som först kopplades till attacker i oktober 2020, har länge förknippats med iranska statssponsrade operationer. Dess senaste inkarnation, Pay2Key.I2P, tros vara kopplad till Fox Kitten (även känd som Lemon Sandstorm), en känd grupp för avancerade ihållande hot (APT). Det är värt att notera att denna kampanj tros utnyttja eller införliva funktioner från Mimic ransomware, vilket bidrar till dess sofistikering.

Den uppdaterade RaaS-modellen erbjuder nu en vinstdelning på 80 %, en ökning från tidigare 70 %, specifikt till dotterbolag som är allierade med iranska intressen eller de som är villiga att genomföra attacker mot Irans motståndare. Denna förändring visar en tydlig blandning av ekonomiska och ideologiska motiv.

Uppkomsten av den I2P-baserade RaaS-plattformen

Det som skiljer Pay2Key.I2P från mängden är dess användning av Invisible Internet Project (I2P) för att hosta hela sin infrastruktur. Medan vissa familjer av skadlig kod har använt I2P för kommando- och kontrollfunktioner (C2), är Pay2Key.I2P den första kända RaaS-operationen som körs helt inom detta anonymiserade nätverk. Detta lägger till ett lager av smygande och motståndskraft som komplicerar brottsbekämpande myndigheters insatser för att ta bort data.

I februari 2025 begärde gruppen över 51 framgångsrika lösensummor, vilket genererade mer än 4 miljoner dollar i totala intäkter, där enskilda operatörer tjänade så mycket som 100 000 dollar. Dessa siffror understryker operationens omfattning och framgång inom en kort tidsram.

En särskilt anmärkningsvärd händelse inträffade den 20 februari 2025, när en darknet-användare under aliaset "Isreactive" annonserade ransomware-programmet på ett ryskt cyberbrottsforum. Inlägget tillät vem som helst att driftsätta binärfilen mot en utbetalning på 20 000 dollar per lyckad attack, vilket inledde ett skifte i RaaS-dynamiken genom att möjliggöra bredare deltagande och större intäkter för utvecklare.

Tekniska framsteg och smygfunktioner

Pay2Key.I2P uppvisar konstant förfining, där ransomware-byggaren får Linux-inriktningsfunktioner från och med juni 2025. Dess Windows-variant distribueras som en körbar fil i ett självuppackande (SFX) arkiv, med avancerade tekniker för att kringgå detektering.

Några viktiga funktioner inkluderar:

  • Inaktivera Microsoft Defender Antivirus under körning
  • Radera skadliga artefakter för att minska det forensiska fotavtrycket

Använda förklädda nyttolaster, såsom körbara filer som utger sig för att vara Microsoft Word-dokument, vilka sedan utlöser cmd-skript som startar krypteringsprocessen och släpper lösensummor.

Dessa smygande beteenden gör upptäckt och åtgärdande betydligt svårare för försvarare.

Ett bredare hotbild och strategiska konsekvenser

Pay2Key.I2P är mer än bara ett kriminellt företag; det representerar en cyberkrigsfront som är i linje med den iranska statens intressen. Dess ideologiska grund är tydlig genom dess riktade utbetalningsincitament och strategiska offerurval.

Detta hot utvecklas mot en bakgrund av ökade geopolitiska spänningar. Efter amerikanska flyganfall mot iranska kärnkraftsanläggningar har amerikanska underrättelsetjänster utfärdat varningar om möjliga cyberattacker som vedergällning. Mellan maj och juni 2025 registrerade forskare 28 cyberattacker som tillskrivits Iran, främst inriktade på den amerikanska transport- och tillverkningssektorn.

Framstående iranska APT-grupper bakom dessa kampanjer inkluderar:

  • Lerigt vatten
  • LÄGENHET 33
  • Oljerigg
  • Cyberav3ngers
  • Rävkattunge
  • Inrikesrättvisa

Dessa aktörer riktar sig i allt högre grad mot industriell och kritisk infrastruktur i både USA och allierade nationer, vilket betonar det akuta behovet av förbättrat cybersäkerhetsförsvar.

Slutsats: Förbered dig på ett föränderligt hot

Pay2Key.I2P är en skarp påminnelse om hur ransomware-hot utvecklas till verktyg för geopolitisk påverkan och cyberkrigföring. Med teknisk sofistikering, höga affiliate-belöningar och ideologiska motiv handlar den här kampanjen inte bara om pengar, den handlar om makt och störningar. Organisationer, särskilt de inom kritiska sektorer, måste förbli vaksamma, se till att systemsårbarheter åtgärdas och implementera proaktiva försvarsstrategier för att bekämpa detta framväxande hot.

Trendigt

Mest sedda

Läser in...