Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Phần mềm tống tiền Pay2Key.I2P

Phần mềm tống tiền Pay2Key.I2P

Đến năm Mezo năm Phần mềm tống tiền, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Trong bối cảnh căng thẳng leo thang giữa Iran, Israel và Hoa Kỳ, một chiến dịch Ransomware-as-a-Service (RaaS) tinh vi mang tên Pay2Key.I2P đã tái xuất. Được hậu thuẫn bởi các lợi ích của Iran, chiến dịch này, dù mang động cơ tài chính nhưng lại bị chi phối bởi ý thức hệ, mang lại động lực mạnh mẽ hơn cho tội phạm mạng nhắm vào Israel và Hoa Kỳ. Biến thể cập nhật này đã áp dụng các chiến thuật cơ sở hạ tầng mới và mở rộng khả năng nhắm mục tiêu, đánh dấu một bước tiến đáng lo ngại trong bối cảnh ransomware.

Mối đe dọa quen thuộc với diện mạo mới

Lần đầu tiên được liên kết với các cuộc tấn công vào tháng 10 năm 2020, Pay2Key từ lâu đã được cho là có liên quan đến các hoạt động do nhà nước Iran bảo trợ. Phiên bản mới nhất của Pay2Key.I2P được cho là có liên quan đến Fox Kitten (còn được gọi là Lemon Sandstorm), một nhóm tấn công mạng dai dẳng (APT) đã được biết đến. Đáng chú ý, chiến dịch này được cho là lợi dụng hoặc tích hợp các tính năng của mã độc tống tiền Mimic, làm tăng thêm sự tinh vi của nó.

Mô hình RaaS cập nhật hiện cung cấp 80% lợi nhuận, tăng so với mức 70% trước đây, dành riêng cho các chi nhánh liên kết với lợi ích của Iran hoặc những bên sẵn sàng tấn công các đối thủ của Iran. Sự thay đổi này cho thấy rõ ràng sự pha trộn giữa động cơ tài chính và ý thức hệ.

Sự trỗi dậy của nền tảng RaaS dựa trên I2P

Điểm khác biệt của Pay2Key.I2P là việc sử dụng Dự án Internet Vô hình (I2P) để lưu trữ toàn bộ cơ sở hạ tầng. Trong khi một số nhóm phần mềm độc hại đã sử dụng I2P cho các chức năng Chỉ huy và Kiểm soát (C2), Pay2Key.I2P là hoạt động RaaS đầu tiên được biết đến chạy hoàn toàn trong mạng ẩn danh này. Điều này bổ sung thêm một lớp ẩn danh và khả năng phục hồi, gây khó khăn cho các nỗ lực triệt phá của cơ quan thực thi pháp luật.

Vào tháng 2 năm 2025, nhóm này đã tuyên bố thực hiện thành công hơn 51 vụ đòi tiền chuộc, tạo ra tổng doanh thu hơn 4 triệu đô la, với mỗi cá nhân kiếm được tới 100.000 đô la. Những con số này nhấn mạnh quy mô và thành công của hoạt động này chỉ trong một khoảng thời gian ngắn.

Một sự kiện đặc biệt đáng chú ý đã xảy ra vào ngày 20 tháng 2 năm 2025, khi một người dùng darknet có biệt danh 'Isreactive' đã quảng cáo ransomware trên một diễn đàn tội phạm mạng của Nga. Bài đăng này cho phép bất kỳ ai triển khai mã nhị phân với mức thưởng 20.000 đô la cho mỗi cuộc tấn công thành công, mở ra một bước chuyển trong mô hình RaaS bằng cách cho phép sự tham gia rộng rãi hơn và mang lại doanh thu lớn hơn cho các nhà phát triển.

Tiến bộ kỹ thuật và khả năng tàng hình

Pay2Key.I2P cho thấy sự cải tiến liên tục, với việc trình tạo ransomware có khả năng nhắm mục tiêu vào Linux kể từ tháng 6 năm 2025. Phiên bản Windows của nó được phân phối dưới dạng tệp thực thi trong kho lưu trữ tự giải nén (SFX), sử dụng các kỹ thuật tiên tiến để vượt qua khả năng phát hiện.

Một số tính năng chính bao gồm:

  • Vô hiệu hóa Microsoft Defender Antivirus trong khi thực thi
  • Xóa bỏ các hiện vật độc hại để giảm thiểu dấu vết pháp y

Sử dụng các phần tải trọng được ngụy trang, chẳng hạn như các tệp thực thi ngụy trang thành tài liệu Microsoft Word, sau đó kích hoạt các tập lệnh cmd để bắt đầu quá trình mã hóa và gửi thông báo đòi tiền chuộc

Những hành vi lén lút này khiến việc phát hiện và khắc phục trở nên khó khăn hơn đáng kể đối với những người bảo vệ.

Bối cảnh đe dọa rộng hơn và ý nghĩa chiến lược

Pay2Key.I2P không chỉ là một tổ chức tội phạm; nó đại diện cho một mặt trận chiến tranh mạng gắn liền với lợi ích của nhà nước Iran. Nền tảng tư tưởng của nó thể hiện rõ qua các ưu đãi trả tiền có mục tiêu và chiến lược lựa chọn nạn nhân.

Mối đe dọa này đang diễn ra trong bối cảnh căng thẳng địa chính trị gia tăng. Sau các cuộc không kích của Mỹ vào các cơ sở hạt nhân của Iran, các cơ quan tình báo Hoa Kỳ đã đưa ra cảnh báo về các cuộc tấn công mạng trả đũa có thể xảy ra. Từ tháng 5 đến tháng 6 năm 2025, các nhà nghiên cứu đã ghi nhận 28 cuộc tấn công mạng do Iran thực hiện, chủ yếu nhắm vào các lĩnh vực vận tải và sản xuất của Hoa Kỳ.

Các nhóm APT nổi bật của Iran đứng sau các chiến dịch này bao gồm:

  • Nước bùn
  • APT33
  • Giàn khoan dầu
  • Cyber Av3ngers
  • Mèo con cáo
  • Công lý Nội địa

Những tác nhân này ngày càng nhắm mục tiêu vào cơ sở hạ tầng công nghiệp và quan trọng ở cả Hoa Kỳ và các quốc gia đồng minh, nhấn mạnh nhu cầu cấp thiết phải cải thiện khả năng phòng thủ an ninh mạng.

Kết luận: Chuẩn bị cho mối đe dọa đang phát triển

Pay2Key.I2P là một lời nhắc nhở rõ ràng về việc các mối đe dọa ransomware đang phát triển thành công cụ gây ảnh hưởng địa chính trị và chiến tranh mạng. Với sự tinh vi về kỹ thuật, phần thưởng liên kết cao và động cơ tư tưởng, chiến dịch này không chỉ xoay quanh tiền bạc, mà còn là sức mạnh và sự gián đoạn. Các tổ chức, đặc biệt là những tổ chức trong các lĩnh vực quan trọng, phải luôn cảnh giác, đảm bảo các lỗ hổng hệ thống được vá và triển khai các chiến lược phòng thủ chủ động để chống lại mối đe dọa mới nổi này.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,717
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...