Pay2Key勒索软件团伙重出江湖 提高攻击美以的激励措施

这个与伊朗高级持续性威胁(APT)组织有关的勒索软件即服务(RaaS)运营团伙，近期将对西方目标的攻击分成比例提高至80%。

来源：Tomas Nevesely via Alamy Stock Photo

Pay2Key是一个与臭名昭著的伊朗国家支持威胁组织有关的RaaS团伙，近期其活动出现变化，可能给美国带来麻烦。

Pay2Key于2020年首次被发现，虽然知名度不高，但曾因对以色列组织的黑客攻击和数据泄露而声名狼藉。多年来，网络安全厂商和美国当局都将其与伊朗国家支持的威胁组织Fox Kitten(也称UNC757)联系起来。

现在，Morphisec的研究人员表示，Pay2Key以新方式重新出现：瞄准西方组织，并为符合该团伙在地缘政治目标(伊朗-以色列-美国冲突)的攻击提供更高报酬。根据Morphisec Labs研究人员的新报告，该团伙将对"伊朗敌人"攻击的分成比例从70%提高到80%。

“他们针对西方目标，加上与伊朗地缘政治立场相关的言论，将这次行动定位为网络战工具，“研究人员写道。“2025年6月新增的Linux版本勒索软件进一步扩大了攻击面，威胁到各种系统。”

Pay2Key勒索软件分成比例提高

据Morphisec称，该RaaS团伙今年以新版本Pay2Key.I2P重新出现，并迅速在威胁环境中扩张。名称中的I2P指的是隐形互联网项目(Invisible Internet Project)，类似于Tor网络。上个月SonicWall的一篇博客文章强调，Pay2Key是第一个使用I2P而非Tor作为赎金门户和受害者通信的勒索软件组织。

更重要的是，该组织在2月份在俄罗斯和中国的暗网论坛及网络犯罪市场上进行了大规模营销。Morphisec研究人员表示，新变种的推出以及协调的品牌宣传活动表明，Pay2Key运营者有一个预先计划的多阶段启动策略。

“在四个月内成功获得51笔赎金支付，该组织的有效性毋庸置疑，“研究人员写道，并补充说Pay2Key在此期间共获得超过400万美元的赎金。

根据Pay2Key威胁行为者与Morphisec Labs研究团队之间的通信，该团伙愿意为"主要针对以色列和美国"的攻击向附属机构提供80%的赎金分成。威胁行为者告诉研究人员，Pay2Key为附属机构提供足够的匿名性，使他们和团伙运营者能够进行网络攻击，同时避免破坏伊朗与两国之间的停火协议。

目前尚不清楚80%的分成比例对潜在附属机构有多大激励作用，因为近年来其他几个勒索软件团伙也达到甚至超过这一水平。2022年，多州信息共享与分析中心(MS-ISAC)指出，现已解散的BlackCat勒索软件团伙向附属机构提供80%至90%的赎金分成。

最近，像DragonForce和Anubis这样的组织也被观察到提供80%的分成。尽管如此，Morphisec研究人员警告说，该组织致力于对伊朗的敌人造成损害，其行动的重新启动和新版本勒索软件的推出(包括Linux系统版本)就是证明。

“个人通信揭示了一个受意识形态驱动的组织，重写其工具以最大化影响，“研究人员写道。“随着地缘政治紧张局势助长此类威胁，主动防御至关重要。”

Morphisec的报告包含了入侵指标(IoCs)，包括Pay2Key.I2P有效载荷的签名和命令与控制域(C2)。研究人员警告说，初始可执行文件包含一个混淆的PowerShell脚本，该脚本在Windows Defender中为所有”.exe"文件创建排除项。这创造了一个"盲点”——在不触发Windows Defender防篡改防御的情况下——为感染链中的其他有效载荷阶段提供掩护。