Pay2key adlı İran destekli fidye yazılımı (RAAS) geçen ay İsrail-İran-ABD çatışmasının ardından yeniden ortaya çıktı ve İsrail ve ABD’ye karşı saldırılar başlatan siber suçlulara daha büyük ödemeler sundu.
Şu anda Pay2key.i2p takma adında faaliyet gösteren finansal olarak motive edilmiş şemanın, Fox Kitten (Lemon Sandtporm) olarak izlenen bir hack grubuna bağlı olduğu değerlendiriliyor.
“Ünlü Fox Kitten Apt Grubuna bağlı ve tanınmış mimik fidye yazılımlarına yakından bağlı, […] Pay2key.i2p, MIMIC’in yetenekleriyle ortaklık yapıyor veya dahil ediyor gibi görünüyor, “dedi Morphisec güvenlik araştırmacısı Ilia Kulmin.
“Resmi olarak, grup İran’ı destekleyen veya İran’ın düşmanlarına karşı saldırılara katılan, ideolojik taahhütlerini işaret eden bağlı kuruluşlara% 80 kâr payı (% 70’den) sunuyor.”
Geçen yıl, ABD hükümeti, noescape, fidye ve blackcat (aka alphv) ekipleri ile gizlice ortaklık yaparak fidye yazılımı saldırılarını gerçekleştirme konusunda gelişmiş Kalıcı Tehdidi’nin (APT) modus operandi olduğunu açıkladı.
Pay2Key’in İran tehdit aktörleri tarafından kullanılması Ekim 2020’ye kadar uzanıyor ve saldırılar İsrail şirketlerini bilinen güvenlik açıklarından yararlanarak hedefliyor.
Pay2key.i2p, Morphisec’e göre, Şubat 2025’te olay yerinde ortaya çıktı ve dört ay içinde 51’den fazla başarılı fidye ödemesini iddia ederek fidye ödemelerinde 4 milyon dolardan fazla ve bireysel operatörler için 100.000 $ kar elde etti.
Finansal güdüleri belirgin ve şüphesiz etkili olsa da, arkalarında altında yatan bir ideolojik gündem var: Kampanya, İsrail ve ABD’deki hedeflere karşı yürütülen bir siber savaş örneği gibi görünüyor
Pay2key.i2p’nin en son varyantının dikkate değer bir yönü, Görünmez İnternet Projesi’nde (I2P) barındırılan ilk bilinen RAAS platformu olmasıdır.
“Bazı kötü amaçlı yazılımlar için i2p kullanırken [command-and-control] İletişim, bu bir adım daha ileri-altyapısını doğrudan I2P’de çalıştıran bir hizmet olarak fidye yazılımı operasyonu,
Dahası, Pay2key.i2p, Russomware Binary’yi başarılı saldırı başına 20.000 dolarlık bir ödeme için kullanmasına ve RAAS operasyonlarında bir kaymaya işaret etmesine izin veren bir Rus Darknet forumunda yayınlamayı gözlemledi. Gönderi, 20 Şubat 2025’te “Isreactive” adlı bir kullanıcı tarafından yapıldı.
Kulmin, “Geliştiricilerin sadece fidye yazılımlarını satmaktan bir kesim aldığı geleneksel fidye yazılımı (RAAS) modellerinden farklı olarak, bu model tam fidye başarılı saldırılardan yakalanmalarına izin veriyor, sadece konuşlandıran saldırganlarla bir bölüm paylaşıyor.”
“Bu değişim, fidye yazılımı geliştiricilerinin sadece aracı satmaktan ziyade saldırı başarısından kazandığı daha merkezi olmayan bir ekosistem oluşturarak basit bir araç satışı modelinden uzaklaşıyor.”
Haziran 2025 itibariyle, fidye yazılımı üreticisi, Linux sistemlerini hedeflemek için bir seçenek içeriyor ve bu da tehdit aktörlerinin dolabın işlevselliğini aktif olarak geliştirdiğini ve geliştirdiğini gösteriyor. Windows muadili ise kendi kendine ekleme (SFX) arşivinde bir Windows yürütülebilir dosyası olarak teslim edilir.
Ayrıca, Microsoft Defender antivirüsünü devre dışı bırakarak ve adli izi en aza indirmek için saldırının bir parçası olarak konuşlandırılan kötü amaçlı artefaktları silerek engellenmesini sağlayan çeşitli kaçınma tekniklerini de içerir.
Morphisec, “Pay2key.i2p, İran devlet destekli siber savaş ve küresel siber suçların tehlikeli bir yakınsamasını temsil ediyor.” Dedi. “İran’ın destekçileri için% 80 kâr teşviki ve fidye ve 4 milyon doların üzerinde fidye operasyonu olan Fox Kitten ve Mimic ile bağları ile Batılı organizasyonları ileri, kaçamaklı fidye yazılımı ile tehdit ediyor.”
Bulgular, ABD siber güvenlik ve istihbarat teşkilatları, ülkedeki üç nükleer tesiste Amerikan hava saldırılarından sonra İran’ın misilleme saldırılarını uyardı.
Operasyonel Teknoloji (OT) Güvenlik Şirketi Nozomi Networks, ABD’de Muddywater, APT33, Oilrig, Cyber AV3ngers, Fox Yavru ve Üretim Organizasyonlarını hedefleyen İranlı Hacking Gruplarını gözlemlediğini söyledi.
Şirket, “ABD ve yurtdışındaki endüstriyel ve kritik altyapı organizasyonlarının Mayıs ve Haziran 2025 arasında İran tehdit aktörleriyle ilgili 28 siber saldırı tespit ettiğini de sözlerine ekledi.