Pay2Key.I2P Fidye Yazılımı

İran, İsrail ve ABD arasındaki artan gerilimin ardından, Pay2Key.I2P adlı gelişmiş bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonu yeniden ortaya çıktı. İran çıkarları tarafından desteklenen, finansal motivasyonlu ancak ideolojik olarak yönlendirilen bu kampanya, İsrail ve ABD'yi hedef alan siber suçlular için daha fazla teşvik sağlıyor. Güncellenen versiyon, yeni altyapı taktikleri sunarak ve hedef yeteneklerini genişleterek, fidye yazılımı dünyasında endişe verici bir evrime işaret ediyor.

Yeni Bir Yüzle Tanıdık Bir Tehdit

İlk olarak Ekim 2020'deki saldırılarla ilişkilendirilen Pay2Key, uzun süredir İran devlet destekli operasyonlarla ilişkilendiriliyor. Son versiyonu olan Pay2Key.I2P'nin, bilinen bir gelişmiş kalıcı tehdit (APT) grubu olan Fox Kitten (Lemon Sandstorm olarak da bilinir) ile bağlantılı olduğuna inanılıyor. Bu saldırının, Mimic fidye yazılımının özelliklerini kullandığı veya entegre ettiği ve bu sayede daha da karmaşık hale geldiği düşünülüyor.

Güncellenen RaaS modeli, özellikle İran çıkarlarıyla uyumlu iştirakçilere veya İran'ın rakiplerine saldırı düzenlemeye istekli olanlara, önceki %70'lik orandan %80'lik bir kâr payı sunuyor. Bu değişim, finansal ve ideolojik motivasyonların açık bir karışımını ortaya koyuyor.

I2P Tabanlı RaaS Platformunun Yükselişi

Pay2Key.I2P'yi farklı kılan, tüm altyapısını barındırmak için Görünmez İnternet Projesi'ni (I2P) kullanmasıdır. Bazı kötü amaçlı yazılım aileleri I2P'yi Komuta ve Kontrol (C2) işlevleri için kullanmış olsa da, Pay2Key.I2P, bu anonimleştirilmiş ağ içinde tamamen çalışan bilinen ilk RaaS işlemidir. Bu, kolluk kuvvetlerinin etkisizleştirme çabalarını zorlaştıran bir gizlilik ve dayanıklılık katmanı ekler.

Şubat 2025'te grup, 51'den fazla başarılı fidye ödemesi gerçekleştirerek toplamda 4 milyon dolardan fazla gelir elde etti ve bireysel operatörler 100.000 dolara kadar kazanç elde etti. Bu rakamlar, operasyonun kısa sürede ulaştığı ölçeği ve başarıyı gözler önüne seriyor.

Özellikle dikkat çekici bir olay, 20 Şubat 2025'te, "Isreactive" takma adlı bir karanlık ağ kullanıcısının, fidye yazılımını bir Rus siber suç forumunda duyurmasıyla yaşandı. Bu duyuru, başarılı saldırı başına 20.000 dolar ödeme karşılığında herkesin ikili yazılımı dağıtmasına olanak tanıdı ve geliştiriciler için daha geniş katılım ve daha fazla gelir elde etme olanağı sağlayarak RaaS dinamiklerinde bir değişime öncülük etti.

Teknik Gelişmeler ve Gizlilik Yetenekleri

Pay2Key.I2P, Haziran 2025 itibarıyla Linux hedefleme yetenekleri kazanan fidye yazılımı oluşturucusuyla sürekli olarak geliştirilmektedir. Windows sürümü ise, algılamayı atlatmak için gelişmiş teknikler kullanılarak, kendi kendini açan (SFX) bir arşiv içinde yürütülebilir bir dosya olarak dağıtılmaktadır.

Bazı temel özellikler şunlardır:

• Microsoft Defender Antivirus'ü yürütme sırasında devre dışı bırakma

• Adli ayak izini azaltmak için kötü amaçlı eserleri silme

Şifreleme işlemini başlatmak ve fidye notları bırakmak için cmd komut dosyalarını tetikleyen, Microsoft Word belgeleri gibi gizlenmiş yürütülebilir dosyalar kullanarak

Bu gizli davranışlar, savunmacılar için tespit ve düzeltmeyi önemli ölçüde zorlaştırır.

Daha Geniş Bir Tehdit Manzarası ve Stratejik Sonuçlar

Pay2Key.I2P, sıradan bir suç örgütünden çok daha fazlasıdır; İran devletinin çıkarlarıyla uyumlu bir siber savaş cephesini temsil eder. İdeolojik temelleri, hedefli ödeme teşvikleri ve stratejik kurban seçimiyle açıkça ortaya çıkmaktadır.

Bu tehdit, artan jeopolitik gerilimlerin zemininde ortaya çıkıyor. ABD'nin İran'ın nükleer tesislerine düzenlediği hava saldırılarının ardından, ABD istihbarat teşkilatları olası misilleme amaçlı siber saldırılar konusunda uyarılarda bulundu. Araştırmacılar, Mayıs ve Haziran 2025 arasında, çoğunlukla ABD ulaştırma ve imalat sektörlerine odaklanan, İran kaynaklı 28 siber saldırı kaydetti.

Bu kampanyaların arkasındaki önde gelen İranlı APT grupları arasında şunlar yer alıyor:

• ÇamurluSu
• APT33
• Petrol Kulesi
• Siber İntikamcılar
• Tilki Yavru Kedi
• Yurt İçi Adalet

Bu aktörler, hem ABD'de hem de müttefik ülkelerde endüstriyel ve kritik altyapıları giderek daha fazla hedef alıyor ve bu da gelişmiş siber güvenlik savunmalarına olan acil ihtiyacı vurguluyor.

Sonuç: Gelişen Bir Tehdide Hazırlıklı Olun

Pay2Key.I2P, fidye yazılımı tehditlerinin jeopolitik etki ve siber savaş araçlarına nasıl dönüştüğünü çarpıcı bir şekilde hatırlatıyor. Teknik gelişmişliği, yüksek ortaklık ödülleri ve ideolojik motivasyonlarıyla bu kampanya sadece parayla ilgili değil, aynı zamanda güç ve yıkıcılıkla da ilgili. Özellikle kritik sektörlerdeki kuruluşlar, bu yeni tehditle mücadele etmek için tetikte olmalı, sistem açıklarının kapatılmasını sağlamalı ve proaktif savunma stratejileri uygulamalıdır.