عودة مجموعة Pay2Key مع حوافز لاستهداف الولايات المتحدة وإسرائيل

تتغير الأمور في مجموعة Pay2Key، وهي مجموعة رانسوموير كخدمة (RaaS) مرتبطة بمجموعة تهديدات إيرانية معروفة، وقد يكون لذلك عواقب وخيمة على الولايات المتحدة. تم رصد Pay2Key لأول مرة في عام 2020، وعلى الرغم من أنها كانت واحدة من مجموعات RaaS الأقل شهرة، إلا أنها حققت بعض الشهرة بسبب هجماتها على المنظمات الإسرائيلية. على مر السنين، ربطت شركات الأمن السيبراني والسلطات الأمريكية هذه المجموعة بـ Fox Kitten، وهي مجموعة تهديدات مدعومة من الدولة الإيرانية تُعرف أيضًا باسم UNC757.

الآن، يقول الباحثون في Morphisec إن Pay2Key قد عادت للظهور بأسلوب جديد: استهداف المنظمات الغربية وعرض مكافآت أعلى للهجمات التي تتماشى مع الأهداف الجيوسياسية للمجموعة في أعقاب الصراع بين إسرائيل وإيران والولايات المتحدة. وفقًا لتقرير جديد من باحثي Morphisec Labs، زادت المجموعة من حصة الأرباح التي تقدمها لشركائها من 70% إلى 80% للهجمات ضد "أعداء إيران".

كتب الباحثون: "تركيزهم على الأهداف الغربية، جنبًا إلى جنب مع الخطاب المرتبط بموقف إيران الجيوسياسي، يضع هذه الحملة كأداة من أدوات الحرب السيبرانية". وأضافوا: "إضافة بناء رانسوموير يستهدف أنظمة Linux في يونيو 2025 توسع من سطح هجماتهم، مما يهدد أنظمة متنوعة".

مقالات ذات صلة

أخرى

تكنو تكشف عن هواتف اختبارية: نيون متوهج وحبر إلكتروني متغير الألوان

منذ شهرين 0

أخرى

مكنسة Shark AV2501AE الروبوتية بخصم 54%: نظافة بلا عناء

منذ شهرين 0

أخرى

ناسا تؤجل الهبوط المأهول على القمر لـ 2028: تغييرات في Artemis III

منذ شهرين 0

أخرى

الجهاز القومي للاتصالات: 5 دقائق مجانية للمصريين في 6 دول عربية

منذ شهرين 0

أخرى

AI القابل للارتداء: خطر التلاعب الخفي بالوعي البشري

منذ شهرين 0

أخرى

دراسة هارفارد: ارتباط محتمل بين المفاعلات النووية ووفيات السرطان

منذ شهرين 0

زيادة حصة الأرباح لشركاء رانسوموير Pay2Key

ظهرت مجموعة RaaS هذا العام بإصدار جديد، Pay2Ket.I2P، الذي توسع بسرعة عبر مشهد التهديدات، وفقًا لـ Morphisec. الاسم يشير إلى مشروع الإنترنت الخفي، أو I2P، الذي يشبه شبكة Tor. وقد أبرز منشور على مدونة SonicWall الشهر الماضي Pay2Key كأول مجموعة رانسوموير تستخدم I2P بدلاً من Tor لبوابة الفدية والتواصل مع الضحايا.

الأهم من ذلك، قامت المجموعة بحملة تسويقية عبر منتديات الويب المظلم الروسية والصينية وأسواق الجرائم الإلكترونية في فبراير. قال باحثو Morphisec إن طرح النسخة الجديدة، جنبًا إلى جنب مع حملة العلامة التجارية المنسقة، يشير إلى أن مشغلي Pay2Key كان لديهم استراتيجية إطلاق متعددة المراحل تم التخطيط لها مسبقًا.

كتب الباحثون: "مع أكثر من 51 دفع فدية ناجح في غضون أربعة أشهر، فإن فعالية المجموعة لا يمكن إنكارها"، مضيفين أن Pay2Key حصلت على أكثر من 4 ملايين دولار إجمالاً من الفديات خلال تلك الفترة.

وفقًا للتواصل بين أحد عناصر تهديد Pay2Key وفريق بحث Morphisec Labs، فإن المجموعة مستعدة لتقديم 80% من الفدية المدفوعة لشركائها عن الهجمات "التي تستهدف بشكل أساسي إسرائيل والولايات المتحدة". أخبر عنصر التهديد الباحثين أن Pay2Key توفر لشركائها ما يكفي من الخصوصية حتى يتمكنوا هم ومشغلو المجموعة من تنفيذ الهجمات الإلكترونية مع تجنب خرق الهدنة بين إيران والدولتين.

ليس من الواضح مدى تأثير حصة الأرباح البالغة 80% على الشركاء المحتملين، حيث أن العديد من مجموعات الرانسوموير الأخرى قد وصلت إلى هذا المستوى أو حتى أعلى في السنوات الأخيرة. في عام 2022، لاحظ مركز تبادل المعلومات والتحليل متعدد الولايات (MS-ISAC) أن مجموعة BlackCat التي لم تعد موجودة عرضت على شركائها بين 80% و90% من الفديات المدفوعة.

مؤخراً، تم ملاحظة مجموعات مثل DragonForce وAnubis تقدم أيضًا حصة أرباح بنسبة 80%. ومع ذلك، حذر باحثو Morphisec من أن المجموعة ملتزمة بإلحاق الضرر بأعداء إيران، كما يتضح من إعادة إطلاق العمليات وتقديم إصدار جديد من الرانسوموير، مع بناء يستهدف أنظمة Linux.

كتب الباحثون: "تظهر الاتصالات الشخصية أن المجموعة مدفوعة بالأيديولوجية، تعيد كتابة أدواتها لتعظيم التأثير". "مع تصاعد التوترات الجيوسياسية، فإن الدفاع الاستباقي أمر ضروري".

تضمن تقرير Morphisec مؤشرات على التهديدات (IoCs)، بما في ذلك توقيعات لحمولة Pay2Key.I2P ونطاق التحكم والسيطرة (C2). حذر الباحثون من أن الملف التنفيذي الأولي يحتوي على نص PowerShell مشوش ينشئ استثناءً في Windows Defender لجميع ملفات ".exe". وهذا يخلق "نقطة عمياء" — دون تفعيل دفاعات مكافحة التلاعب في Windows Defender — مما يوفر غطاءً لمراحل الحمولة الإضافية في سلسلة العدوى.