Програма-вимагач Pay2Key.I2P
На тлі ескалації напруженості між Іраном, Ізраїлем та США знову з'явилася складна операція «програма-вимагач як послуга» (RaaS) під назвою Pay2Key.I2P. Підтримувана іранськими інтересами, ця фінансово мотивована, але ідеологічно керована кампанія пропонує підвищені стимули для кіберзлочинців, які націлені на Ізраїль та Сполучені Штати. Оновлений варіант запровадив нові тактики інфраструктури та розширив свої цільові можливості, що свідчить про тривожну еволюцію в ландшафті програм-вимагачів.
Зміст
Знайома загроза з новим обличчям
Вперше пов'язану з атаками в жовтні 2020 року, Pay2Key вже давно асоціюється з операціями, що спонсоруються іранською державою. Вважається, що її останнє втілення, Pay2Key.I2P, пов'язане з Fox Kitten (також відомою як Lemon Sandstorm), відомою групою розслідування постійних загроз (APT). Примітно, що ця кампанія, як вважається, використовує або включає функції програми-вимагача Mimic, що додає їй вишуканості.
Оновлена модель RaaS тепер пропонує 80% частки прибутку, що більше порівняно з попередніми 70%, зокрема, для афілійованих осіб, які підтримують іранські інтереси або готові здійснювати атаки проти супротивників Ірану. Цей зсув демонструє чітке поєднання фінансових та ідеологічних мотивів.
Зростання платформи RaaS на основі I2P
Що відрізняє Pay2Key.I2P, так це використання проекту Invisible Internet Project (I2P) для розміщення всієї його інфраструктури. Хоча деякі сімейства шкідливих програм використовували I2P для функцій командування та управління (C2), Pay2Key.I2P — це перша відома операція RaaS, яка повністю працює в цій анонімізованій мережі. Це додає рівень прихованості та стійкості, що ускладнює зусилля правоохоронних органів щодо їхнього видалення.
У лютому 2025 року група заявила про понад 51 успішну виплату викупу, принісши загальний дохід понад 4 мільйони доларів, а окремі оператори заробили до 100 000 доларів. Ці цифри підкреслюють масштаб та успіх операції за короткий проміжок часу.
Особливо помітна подія сталася 20 лютого 2025 року, коли користувач даркнету під псевдонімом «Isreactive» розмістив рекламу програми-вимагача на російському форумі з кіберзлочинності. У публікації було дозволено будь-кому розгорнути бінарний файл за виплату 20 000 доларів США за успішну атаку, що призвело до зміни динаміки RaaS, забезпечивши ширшу участь та збільшення доходів для розробників.
Технічні досягнення та можливості малопомітності
Pay2Key.I2P демонструє постійне вдосконалення, і з червня 2025 року конструктор програм-вимагачів отримав можливості атаки на Linux. Його варіант для Windows розповсюджується як виконуваний файл у саморозпаковувальному (SFX) архіві, використовуючи передові методи обходу виявлення.
Деякі ключові характеристики включають:
- Вимкнення антивіруса Microsoft Defender під час виконання
- Видалення шкідливих артефактів для зменшення слідів судово-медичної експертизи
Використання замаскованих корисних навантажень, таких як виконувані файли, що маскуються під документи Microsoft Word, які потім запускають скрипти cmd для початку процесу шифрування та надсилання повідомлень з вимогою викупу.
Така прихована поведінка значно ускладнює виявлення та усунення наслідків для захисників.
Ширший ландшафт загроз та стратегічні наслідки
Pay2Key.I2P — це більше, ніж просто злочинне підприємство; це фронт кібервійни, що відповідає інтересам іранської держави. Його ідеологічна основа очевидна через цільові виплати винагород та стратегічний відбір жертв.
Ця загроза розгортається на тлі загострення геополітичної напруженості. Після американських авіаударів по іранських ядерних об'єктах, розвідувальні служби США випустили попередження про можливі кібератак у відповідь. У період з травня по червень 2025 року дослідники зафіксували 28 кібератак, пов'язаних з Іраном, в основному зосереджених на транспортному та виробничому секторах США.
Серед відомих іранських груп APT, що стоять за цими кампаніями, є:
- Каламутна вода
- APT33
- Нафтова вишка
- Кібер-Месники
- Лисиця кошеня
- Батьківщина Справедливість
Ці суб'єкти дедалі частіше атакують промислову та критично важливу інфраструктуру як у США, так і в союзних країнах, що підкреслює нагальну потребу в покращенні кіберзахисту.
Висновок: Підготуйтеся до загрози, що зростає
Pay2Key.I2P – це яскраве нагадування про те, як загрози програм-вимагачів перетворюються на інструменти геополітичного впливу та кібервійни. Завдяки технічній складності, високим винагородам для партнерів та ідеологічним мотивам, ця кампанія стосується не лише грошей, а й влади та руйнівних факторів. Організації, особливо ті, що працюють у критично важливих секторах, повинні залишатися пильними, забезпечувати виправлення вразливостей систем та впроваджувати проактивні стратегії захисту для боротьби з цією новою загрозою.
