Um ransomware-como-serviço (RaaS) apoiado pelo Irã, chamado Pay2Key, ressurgiu após o conflito Israel-Irã-EUA do mês passado, oferecendo maiores recompensas para cibercriminosos que lançarem ataques contra Israel e os EUA.
O esquema, motivado financeiramente, agora opera sob o nome Pay2Key.I2P, e é avaliado como vinculado a um grupo de hackers rastreado como Fox Kitten (também conhecido como Lemon Sandstorm).
"Vinculado ao notório grupo APT Fox Kitten e intimamente ligado ao bem conhecido ransomware Mimic, [...] Pay2Key.I2P parece se associar ou incorporar as capacidades do Mimic," disse o pesquisador de segurança da Morphisec, Ilia Kulmin.
Oficialmente, o grupo oferece uma participação nos lucros de 80% (aumento de 70%) para afiliados que apoiam o Irã ou participam de ataques contra os inimigos do Irã, sinalizando seu comprometimento ideológico.
No ano passado, o governo dos EUA revelou o modus operandi da ameaça persistente avançada (APT) de realizar ataques de ransomware ao se associar secretamente com as equipes NoEscape, RansomHouse e BlackCat (também conhecido como ALPHV).
O uso do Pay2Key por atores de ameaças iranianos remonta a outubro de 2020, com os ataques visando empresas israelenses ao explorar vulnerabilidades de segurança conhecidas.
Pay2Key.I2P, conforme Morphisec, surgiu em cena em fevereiro de 2025, reivindicando mais de 51 pagamentos de resgate bem-sucedidos em quatro meses, arrecadando mais de $4 milhões em pagamentos de resgate e $100.000 em lucros para operadores individuais.
Enquanto suas motivações financeiras são aparentes e indubitavelmente eficazes, há também uma agenda ideológica subjacente: a campanha parece ser um caso de guerra cibernética travada contra alvos em Israel e nos EUA.
Um aspecto notável da última variante do Pay2Key.I2P é que é a primeira plataforma RaaS conhecida a ser hospedada no Invisible Internet Project (I2P).
"Enquanto algumas famílias de malware usaram I2P para comunicação [command-and-control], este é um passo além – uma operação Ransomware-como-Serviço executando sua infraestrutura diretamente no I2P," disse a empresa suíça de cibersegurança PRODAFT em uma postagem compartilhada no X em março de 2025.
A postagem foi posteriormente republicada pela própria conta X do Pay2Key.I2P.
Além disso, Pay2Key.I2P observou a postagem em um fórum russo da darknet que permitia a qualquer um implantar o binário do ransomware por um pagamento de $20.000 por ataque bem-sucedido, marcando uma mudança nas operações de RaaS.
A postagem foi feita por um usuário chamado "Isreactive" em 20 de fevereiro de 2025.
"Diferentemente dos modelos tradicionais de Ransomware-como-Serviço (RaaS), onde os desenvolvedores recebem uma parte apenas pela venda do ransomware, este modelo permite que eles capturem o resgate completo de ataques bem-sucedidos, compartilhando apenas uma parte com os atacantes que o implantam," Kulmin observou na época.
Essa mudança se afasta de um simples modelo de venda de ferramentas, criando um ecossistema mais descentralizado, onde os desenvolvedores de ransomware lucram com o sucesso do ataque, em vez de apenas vender a ferramenta.
A partir de junho de 2025, o construtor de ransomware inclui uma opção para visar sistemas Linux, indicando que os atores de ameaças estão ativamente refinando e melhorando a funcionalidade do locker.
Por outro lado, o equivalente para Windows é entregue como um executável do Windows dentro de um arquivo autoextraível (SFX).
Também incorpora várias técnicas de evasão que permitem que ele funcione sem impedimentos, desativando o Microsoft Defender Antivirus e deletando artefatos maliciosos implantados como parte do ataque para minimizar o rastro forense.
"Pay2Key.I2P representa uma convergência perigosa da guerra cibernética patrocinada pelo Estado iraniano e do crime cibernético global," disse Morphisec.
Com laços com Fox Kitten e Mimic, um incentivo de lucro de 80% para apoiadores do Irã, e mais de $4 milhões em resgates, esta operação RaaS ameaça organizações ocidentais com ransomware avançado e evasivo.
Os resultados vêm enquanto as agências de cibersegurança e inteligência dos EUA alertaram para ataques retaliatórios do Irã após ataques aéreos americanos em três instalações nucleares no país.
A empresa de segurança de tecnologia operacional (OT) Nozomi Networks disse ter observado grupos de hackers iranianos como MuddyWater, APT33, OilRig, Cyber Av3ngers, Fox Kitten e Homeland Justice mirando organizações de transporte e fabricação nos EUA.
"Organizações industriais e de infraestrutura crítica nos EUA e no exterior são instadas a estar vigilantes e revisar sua postura de segurança," disse a empresa, acrescentando ter detectado 28 ataques cibernéticos relacionados a atores de ameaças iranianas entre maio e junho de 2025.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...