Pay2Key.I2P แรนซัมแวร์

หลังจากความตึงเครียดระหว่างอิหร่าน อิสราเอล และสหรัฐอเมริกาทวีความรุนแรงขึ้น ปฏิบัติการ Ransomware-as-a-Service (RaaS) ที่ซับซ้อนที่มีชื่อว่า Pay2Key.I2P ได้กลับมาเกิดขึ้นอีกครั้ง แคมเปญนี้ได้รับการสนับสนุนจากผลประโยชน์ของอิหร่าน แม้จะขับเคลื่อนด้วยอุดมการณ์แต่ก็ขับเคลื่อนด้วยแรงจูงใจทางการเงิน ก่อให้เกิดแรงจูงใจที่สูงขึ้นสำหรับอาชญากรไซเบอร์ที่มุ่งเป้าโจมตีอิสราเอลและสหรัฐอเมริกา เวอร์ชันที่อัปเดตนี้ได้นำเสนอกลยุทธ์โครงสร้างพื้นฐานใหม่และขยายขีดความสามารถในการกำหนดเป้าหมาย ซึ่งถือเป็นวิวัฒนาการที่น่ากังวลของวงการแรนซัมแวร์

ภัยคุกคามที่คุ้นเคยแต่มีใบหน้าใหม่

Pay2Key เชื่อมโยงกับการโจมตีครั้งแรกในเดือนตุลาคม 2563 และมีความเชื่อมโยงกับปฏิบัติการที่รัฐบาลอิหร่านให้การสนับสนุนมาอย่างยาวนาน เชื่อกันว่า Pay2Key.I2P เวอร์ชันล่าสุดมีความเชื่อมโยงกับ Fox Kitten (หรือที่รู้จักกันในชื่อ Lemon Sandstorm) ซึ่งเป็นกลุ่มภัยคุกคามขั้นสูงที่รู้จักกันว่าเป็นภัยคุกคามต่อเนื่อง (APT) ที่น่าสังเกตคือ เชื่อกันว่าแคมเปญนี้ใช้ประโยชน์จากหรือผสานรวมฟีเจอร์จากแรนซัมแวร์ Mimic เพื่อเพิ่มความซับซ้อนให้กับแคมเปญ

รูปแบบ RaaS ที่ปรับปรุงใหม่นี้มอบส่วนแบ่งกำไร 80% เพิ่มขึ้นจากเดิม 70% โดยเฉพาะอย่างยิ่งกับบริษัทในเครือที่สนับสนุนผลประโยชน์ของอิหร่าน หรือผู้ที่ต้องการโจมตีฝ่ายตรงข้ามของอิหร่าน การเปลี่ยนแปลงนี้แสดงให้เห็นถึงการผสมผสานระหว่างแรงจูงใจทางการเงินและอุดมการณ์อย่างชัดเจน

การเพิ่มขึ้นของแพลตฟอร์ม RaaS ที่ใช้ I2P

สิ่งที่ทำให้ Pay2Key.I2P โดดเด่นคือการใช้ Invisible Internet Project (I2P) ในการโฮสต์โครงสร้างพื้นฐานทั้งหมด แม้ว่ามัลแวร์บางกลุ่มจะใช้ I2P สำหรับฟังก์ชัน Command-and-Control (C2) แต่ Pay2Key.I2P เป็นปฏิบัติการ RaaS แรกที่รู้จักว่าทำงานอย่างสมบูรณ์ภายในเครือข่ายที่ไม่ระบุตัวตนนี้ การเพิ่มระดับการพรางตัวและความยืดหยุ่นนี้ทำให้การปราบปรามของหน่วยงานบังคับใช้กฎหมายมีความซับซ้อนมากขึ้น

ในเดือนกุมภาพันธ์ พ.ศ. 2568 กลุ่มนี้ได้เรียกร้องค่าไถ่สำเร็จมากกว่า 51 ครั้ง สร้างรายได้รวมมากกว่า 4 ล้านดอลลาร์สหรัฐ โดยผู้ประกอบการรายบุคคลมีรายได้สูงถึง 100,000 ดอลลาร์สหรัฐ ตัวเลขเหล่านี้ตอกย้ำถึงขนาดและความสำเร็จของปฏิบัติการภายในระยะเวลาอันสั้น

เหตุการณ์สำคัญอย่างหนึ่งเกิดขึ้นเมื่อวันที่ 20 กุมภาพันธ์ 2025 เมื่อผู้ใช้ดาร์กเน็ตที่ใช้นามแฝงว่า 'Isreactive' โฆษณาแรนซัมแวร์นี้บนฟอรัมอาชญากรรมไซเบอร์แห่งหนึ่งในรัสเซีย โพสต์ดังกล่าวทำให้ทุกคนสามารถติดตั้งไบนารี่ได้ โดยได้รับค่าตอบแทน 20,000 ดอลลาร์ต่อการโจมตีที่สำเร็จ ซึ่งนำไปสู่การเปลี่ยนแปลงพลวัตของ RaaS ด้วยการเปิดโอกาสให้นักพัฒนามีส่วนร่วมมากขึ้นและเพิ่มรายได้

ความก้าวหน้าทางเทคนิคและความสามารถในการพรางตัว

Pay2Key.I2P แสดงให้เห็นถึงการปรับปรุงอย่างต่อเนื่อง โดยโปรแกรมสร้างแรนซัมแวร์ได้รับความสามารถในการกำหนดเป้าหมายเป็น Linux ได้แล้วตั้งแต่เดือนมิถุนายน พ.ศ. 2568 โปรแกรมเวอร์ชัน Windows จะถูกแจกจ่ายเป็นไฟล์ปฏิบัติการภายในไฟล์เก็บถาวรแบบแยกตัวเอง (SFX) โดยใช้เทคนิคขั้นสูงเพื่อหลีกเลี่ยงการตรวจจับ

คุณสมบัติหลักบางประการได้แก่:

การใช้เพย์โหลดที่ปลอมตัว เช่น ไฟล์ปฏิบัติการที่ปลอมตัวเป็นเอกสาร Microsoft Word ซึ่งจะทริกเกอร์สคริปต์ cmd เพื่อเริ่มกระบวนการเข้ารหัสและทิ้งบันทึกเรียกค่าไถ่

พฤติกรรมอันแอบแฝงเหล่านี้ทำให้การตรวจจับและการแก้ไขทำได้ยากยิ่งขึ้นอย่างมากสำหรับผู้ป้องกัน

ภูมิทัศน์ภัยคุกคามที่กว้างขึ้นและผลกระทบเชิงกลยุทธ์

Pay2Key.I2P ไม่ได้เป็นเพียงองค์กรอาชญากรรมเท่านั้น แต่ยังเป็นแนวหน้าของสงครามไซเบอร์ที่สอดคล้องกับผลประโยชน์ของรัฐอิหร่าน รากฐานทางอุดมการณ์ขององค์กรนี้เห็นได้ชัดจากแรงจูงใจในการจ่ายเงินแบบมีเป้าหมายและการคัดเลือกเหยื่อเชิงกลยุทธ์

ภัยคุกคามนี้กำลังก่อตัวขึ้นท่ามกลางความตึงเครียดทางภูมิรัฐศาสตร์ที่เพิ่มสูงขึ้น หลังจากการโจมตีทางอากาศของสหรัฐฯ ต่อโรงงานนิวเคลียร์ของอิหร่าน หน่วยข่าวกรองของสหรัฐฯ ได้ออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์เพื่อตอบโต้ที่อาจเกิดขึ้น ระหว่างเดือนพฤษภาคมถึงมิถุนายน 2568 นักวิจัยบันทึกการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับอิหร่าน 28 ครั้ง โดยส่วนใหญ่มุ่งเน้นไปที่ภาคการขนส่งและการผลิตของสหรัฐฯ

กลุ่ม APT ชั้นนำของอิหร่านที่อยู่เบื้องหลังแคมเปญเหล่านี้ ได้แก่:

• น้ำโคลน
• เอพีที33
• แท่นขุดเจาะน้ำมัน
• ไซเบอร์ แอฟ3นเจอร์ส
• ลูกแมวจิ้งจอก
• ความยุติธรรมในประเทศ

ผู้แสดงเหล่านี้มุ่งเป้าไปที่โครงสร้างพื้นฐานด้านอุตสาหกรรมและที่สำคัญมากขึ้นทั้งในสหรัฐอเมริกาและประเทศพันธมิตร โดยเน้นย้ำถึงความต้องการเร่งด่วนในการปรับปรุงการป้องกันความปลอดภัยทางไซเบอร์

บทสรุป: เตรียมพร้อมรับมือกับภัยคุกคามที่กำลังเปลี่ยนแปลง

Pay2Key.I2P เป็นเครื่องเตือนใจอย่างชัดเจนว่าภัยคุกคามจากแรนซัมแวร์กำลังพัฒนาไปสู่เครื่องมือสร้างอิทธิพลทางภูมิรัฐศาสตร์และสงครามไซเบอร์ ด้วยความซับซ้อนทางเทคนิค รางวัลพันธมิตรที่สูง และแรงจูงใจทางอุดมการณ์ แคมเปญนี้จึงไม่ใช่แค่เรื่องของเงินเท่านั้น แต่ยังเกี่ยวกับอำนาจและการเปลี่ยนแปลง องค์กรต่างๆ โดยเฉพาะอย่างยิ่งในภาคส่วนสำคัญๆ จำเป็นต้องเฝ้าระวัง ตรวจสอบให้แน่ใจว่ามีการแก้ไขช่องโหว่ของระบบ และดำเนินกลยุทธ์การป้องกันเชิงรุกเพื่อต่อสู้กับภัยคุกคามที่กำลังเกิดขึ้นนี้