Сфера киберпреступности не стоит на месте, постоянно эволюционируя и адаптируясь под современные реалии. Одним из наиболее ярких примеров такой трансформации стал вымогатель Pay2Key, поддерживаемый государственными структурами Ирана, который недавно вновь объявил о себе на фоне усиления конфликта между Израилем, США и Ираном. Интересует то, как именно эта вредоносная программа выстраивает свои операции, кто стоит за её разработкой и какую опасность она представляет для мирового сообщества? Разберёмся в деталях. Pay2Key – это ransomware-as-a-service (RaaS), то есть вредоносный инструмент, доступный для использования через сервисную модель. Особенность RaaS заключается в том, что разработчики создают программное обеспечение, а хакеры, называемые аффилиатами, используют его для проведения атак.
Прибыль от взяток, полученных с жертв, поделена между создателями программы и её операторами. В случае Pay2Key эта модель претерпела значительные изменения: если раньше разработчики получали около 30% прибыли, сейчас их доля выросла до 20%, то есть аффилиатам передаётся внушительные 80% от полученных выкупов. Это необычный шаг, поскольку теперь операторы атак получают основную часть финансовой отдачи, что мотивирует их проводить масштабные и частые атаки в интересах иранской стороны в текущей геополитической напряжённости. Принадлежность Pay2Key связывают с известной группировкой Fox Kitten, которая также известна под названием Lemon Sandstorm. Эта группа относится к категории продвинутых постоянных угроз (APT) и имеет репутацию одного из ведущих игроков в сфере целевых кибератак, тесно взаимодействуя с другими вредоносными программами, например, Mimic ransomware.
Особое внимание исследователей привлек факт использования Pay2Key в рамках инфраструктуры Invisible Internet Project (I2P) – анонимной сети, которая обеспечивает глубокую защиту конфиденциальности и затрудняет отслеживание активности пользователей. Это первый случай, когда полноценная платформа RaaS была размещена именно в I2P, что значительно усложняет операции служб безопасности и усиливает опасность для потенциальных жертв. С момента появления первой версии вымогателя в октябре 2020 года его жертвами становились преимущественно израильские компании, подвергающиеся атакам с использованием уже известных уязвимостей. Однако с февраля 2025 Pay2Key возродился в новом формате Pay2Key.I2P, и за первые четыре месяца работы через эту платформу злоумышленники получили более 51 выплаты выкупа, что принесло им свыше четырёх миллионов долларов и по $100 тысяч чистой прибыли с каждого оператора.
Кроме коммерческой составляющей в этих действиях ощущается и идеологическая мотивация — киберпреступники явно целятся в объекты Израиля и США, как прямое отражение текущего конфликта и ответных мер в информационной войне. Интересным моментом является способ распространения Pay2Key.I2P и схема монетизации. Злоумышленники предлагают приобрести бинарный файл для осуществления атаки за 20 000 долларов на российском даркнете. При этом разработчики получают не просто средства за передачу вредоносного кода, а удерживают почти всю сумму выкупа после успешного заражения, оставляя операторам лишь часть вознаграждения.
Такая ревизия традиционной модели RaaS превращает экосистему в более децентрализованную и масштабируемую, увеличивая угрозу для конечных пользователей и предприятий. С технической точки зрения Pay2Key.I2P не стоит на месте. Разработчики расширяют функциональные возможности, включая, например, поддержку атак на Linux-системы, ранее ориентированные на Windows-окружение. Для Windows распространяется исполняемый файл в формате SFX (самораспаковывающийся архив), что позволяет облегчить заражение жертвы.
Помимо этого, вредоносный код активно применяет техники обхода антивирусных систем, отключая Microsoft Defender и удаляя следы своей активности для уменьшения вероятности обнаружения и проведения судебно-технических экспертиз. Старт атаки обычно замаскирован под знакомые пользователям объекты: вредоносные файлы выдают себя за документы Microsoft Word, что повышает шанс открытия и запуска вредоносного кода сотрудниками. После этого активируется процесс шифрования данных и появляется требование выкупа с подробной инструкцией по оплате. Особо стоит подчеркнуть, что Pay2Key.I2P не просто отдельная вредоносная программа, но представляет собой симбиоз государственного кибертерроризма и криминального бизнеса.
Сотрудничество с кибергруппировками, такими как NoEscape, RansomHouse, BlackCat и прочими, заключается в обмене технологиями, совместном развитии инструментов и расширении сфер воздействия. Эта интеграция усиливает атаки, делая их мощными и диверсифицированными. Учитывая быстрый рост активности, американские и международные спецслужбы предупреждают о возможных волнах атак в ответ на военные действия и санкции в реальном мире. К примеру, наблюдения Nozomi Networks зафиксировали 28 кибератак, связанных с иранскими группами за период с мая по июнь 2025 года, направленных на транспортный и производственный сектора США, пожалуй, среди наиболее уязвимых направлений. Для предприятий и организаций, особенно работающих в критической инфраструктуре, это серьёзный сигнал к повышению уровня киберзащиты, регулярному обновлению программного обеспечения, усовершенствованию процессов раннего обнаружения и реагирования.
Современные инструменты безопасности должны учитывать вызовы, связанные с новейшими техниками предотвращения обнаружения вредоносного поведения и внедрением новых методов атаки, реализуемых через инфраструктуру I2P. В нынешнем ландшафте киберугроз объединение финансовой выгоды и идеологического мотива играет ключевую роль, заставляя компании переосмыслить подходы к информационной безопасности. Pay2Key — только один из примеров того, как геополитика напрямую влияет на развитие инструментов киберпреступников и ставит под угрозу глобальную стабильность. В конечном итоге, усиление международного сотрудничества в области кибербезопасности, обмен разведданными и развитие аналитических платформ будут необходимы для сдерживания таких вызовов, а также для проактивного реагирования на постоянно меняющуюся тактику злоумышленников. Поддержание высокого уровня осведомлённости, регулярное обучение сотрудников и внедрение передовых технологий защиты помогут организациям снизить риски успешных атак со стороны таких амбициозных и подконтрольных государству групп, как Fox Kitten и им подобных.
Появление Pay2Key в анонимных сетях и даркнете знаменует собой переход от централизованных к децентрализованным и сложно контролируемым схемам киберпреступности, что требует нового, более гибкого и инновационного подхода к противодействию угрозам в цифровом пространстве. Таким образом, Pay2Key.I2P не просто возвратился на арену киберпреступности — он обозначил новую эпоху, в которой государственная поддержка, инновационные методы и экономический стимул объединяются для создания мощного инструмента инфоватой войны, влекущего за собой серьёзные последствия для безопасности мировой цифровой инфраструктуры.
