Pay2Key.I2P Ransomware
Sa gitna ng tumitinding tensyon sa pagitan ng Iran, Israel, at US, muling lumitaw ang isang sopistikadong operasyon ng Ransomware-as-a-Service (RaaS) na pinangalanang Pay2Key.I2P. Sinusuportahan ng mga interes ng Iran, ang kampanyang ito na may motibasyon sa pananalapi ngunit hinihimok ng ideolohikal ay nag-aalok ng mas mataas na mga insentibo para sa mga cybercriminal na nagta-target sa Israel at Estados Unidos. Ang na-update na variant ay nagpakilala ng mga bagong taktika sa imprastraktura at pinalawak ang mga target na kakayahan nito, na nagmamarka ng tungkol sa ebolusyon sa landscape ng ransomware.
Talaan ng mga Nilalaman
Isang Pamilyar na Banta na may Bagong Mukha
Unang na-link sa mga pag-atake noong Oktubre 2020, matagal nang nauugnay ang Pay2Key sa mga operasyong itinataguyod ng estado ng Iran. Ang pinakabagong pagkakatawang-tao nito, ang Pay2Key.I2P, ay pinaniniwalaang konektado sa Fox Kitten (kilala rin bilang Lemon Sandstorm), isang kilalang advanced persistent threat (APT) na grupo. Kapansin-pansin, ang kampanyang ito ay pinaniniwalaan na nakikinabang o nagsasama ng mga tampok mula sa Mimic ransomware, na nagdaragdag sa pagiging sopistikado nito.
Ang na-update na modelo ng RaaS ay nag-aalok na ngayon ng 80% na bahagi ng kita, isang pagtaas mula sa nakaraang 70%, partikular sa mga kaakibat na nakahanay sa mga interes ng Iran o sa mga handang magsagawa ng mga pag-atake laban sa mga kalaban ng Iran. Ang pagbabagong ito ay nagpapakita ng isang malinaw na timpla ng mga motibasyon sa pananalapi at ideolohikal.
Ang Pagtaas ng I2P-Based RaaS Platform
Ang pinagkaiba ng Pay2Key.I2P ay ang paggamit nito ng Invisible Internet Project (I2P) para sa pagho-host ng buong imprastraktura nito. Habang ang ilang pamilya ng malware ay gumamit ng I2P para sa Command-and-Control (C2) na mga function, ang Pay2Key.I2P ang unang kilalang operasyon ng RaaS na ganap na gumana sa loob ng hindi nakikilalang network na ito. Nagdaragdag ito ng layer ng stealth at resilience na nagpapalubha sa mga pagsusumikap sa pagtanggal ng pagpapatupad ng batas.
Noong Pebrero 2025, nag-claim ang grupo ng higit sa 51 matagumpay na pagbabayad ng ransom, na bumubuo ng higit sa $4 milyon sa kabuuang kita, na may mga indibidwal na operator na kumikita ng hanggang $100,000. Binibigyang-diin ng mga numerong ito ang sukat at tagumpay ng operasyon sa loob ng maikling panahon.
Isang partikular na kapansin-pansing kaganapan ang naganap noong Pebrero 20, 2025, nang ang isang user ng darknet na may alyas na 'Isreactive' ay nag-advertise ng ransomware sa isang Russian cybercrime forum. Pinahintulutan ng post ang sinuman na i-deploy ang binary para sa $20,000 na payout sa bawat matagumpay na pag-atake, na nag-uudyok sa pagbabago sa RaaS dynamics sa pamamagitan ng pagpapagana ng mas malawak na partisipasyon at mas malaking kita para sa mga developer.
Mga Teknikal na Pagsulong at Mga Kakayahang Stealth
Ang Pay2Key.I2P ay nagpapakita ng patuloy na pagpipino, kung saan ang tagabuo ng ransomware ay nakakakuha ng mga kakayahan sa pag-target ng Linux noong Hunyo 2025. Ang variant ng Windows nito ay ipinamahagi bilang isang executable sa loob ng isang self-extracting (SFX) archive, gamit ang mga advanced na diskarte upang i-bypass ang detection.
Ang ilang mga pangunahing tampok ay kinabibilangan ng:
Paggamit ng mga disguised na payload, tulad ng mga executable na file na nagpapanggap bilang mga dokumento ng Microsoft Word, na pagkatapos ay nagti-trigger ng mga cmd script upang simulan ang proseso ng pag-encrypt at i-drop ang mga ransom notes
Ang mga palihim na gawi na ito ay nagpapahirap sa pagtuklas at remediation para sa mga tagapagtanggol.
Isang Mas Malawak na Landscape ng Banta at Mga Istratehikong Implikasyon
Ang Pay2Key.I2P ay higit pa sa isang kriminal na negosyo; ito ay kumakatawan sa isang cyber warfare front na nakahanay sa mga interes ng Iranian state. Ang mga ideolohikal na pinagbabatayan nito ay makikita sa pamamagitan ng mga target na payout na insentibo nito at madiskarteng pagpili ng biktima.
Ang banta na ito ay lumalabas laban sa isang backdrop ng mas mataas na geopolitical tensions. Kasunod ng mga airstrike ng Amerika sa mga pasilidad ng nuklear ng Iran, ang mga ahensya ng paniktik ng US ay naglabas ng mga babala tungkol sa posibleng paghihiganting cyberattacks. Sa pagitan ng Mayo at Hunyo 2025, nagtala ang mga mananaliksik ng 28 na pag-atake sa cyber na nauugnay sa Iran, na pangunahing nakatuon sa mga sektor ng transportasyon at pagmamanupaktura ng US.
Kabilang sa mga kilalang Iranian APT group sa likod ng mga kampanyang ito ang:
- MuddyWater
- APT33
- OilRig
- Cyber Av3ngers
- Fox Kuting
- Katarungan sa tinubuang-bayan
Ang mga aktor na ito ay lalong nagta-target sa industriya at kritikal na imprastraktura sa parehong US at mga kaalyadong bansa, na binibigyang-diin ang agarang pangangailangan para sa pinahusay na mga panlaban sa cybersecurity.
Konklusyon: Maghanda para sa isang Umuunlad na Banta
Ang Pay2Key.I2P ay isang malinaw na paalala kung paano umuusbong ang mga banta ng ransomware sa mga tool ng geopolitical na impluwensya at digmaang cyber. Sa teknikal na pagiging sopistikado, matataas na gantimpala ng kaakibat, at mga pagganyak sa ideolohiya, ang kampanyang ito ay hindi lamang tungkol sa pera, ito ay tungkol sa kapangyarihan at pagkagambala. Ang mga organisasyon, lalo na ang mga nasa kritikal na sektor, ay dapat manatiling mapagbantay, tiyakin na ang mga kahinaan sa system ay natatanggal, at magpatupad ng mga proactive na diskarte sa pagtatanggol upang labanan ang umuusbong na banta na ito.
