Die Cybersecurity-Landschaft wird von einer neuen, hochentwickelten Bedrohung erschüttert: Pay2Key, ein Ransomware-as-a-Service (RaaS), der auf dem bekannten Mimic-Malware basiert. Cybersecurity-Experten von F6 haben diese fortschrittliche Erpressersoftware identifiziert, die bereits mehrere gezielte Angriffe auf russische Organisationen durchgeführt hat und dabei traditionelle Grenzen der Cyberkriminalität durchbricht.
Durchbruch traditioneller Cybercrime-Konventionen
Was Pay2Key besonders beunruhigend macht, ist die offene Missachtung ungeschriebener Regeln der Cyberkriminalität. Während russische Organisationen traditionell als tabu galten, dokumentierten Sicherheitsexperten mindestens drei gezielte Kampagnen im Frühjahr 2025 gegen Unternehmen in kritischen Wirtschaftssektoren, darunter Einzelhandel, Finanzdienstleistungen, IT-Branche und Baugewerbe.
Die erste öffentliche Erwähnung von Pay2Key erfolgte im Februar 2025, als ein Benutzer namens „lsreactive“ auf einem spezialisierten Hacker-Forum eine Anzeige schaltete und den Start dieses neuen RaaS-Projekts ankündigte.
Lukrative Geschäftsmodell für Cyberkriminelle
Die Betreiber von Pay2Key locken potenzielle Partner mit außergewöhnlich attraktiven finanziellen Anreizen. Auf Underground-Foren wird ein durchschnittliches monatliches Einkommen von 16500 Euro versprochen, was diesen RaaS-Service für Cyberkriminelle äußerst verlockend macht.
Die durchschnittliche Lösegeldforderung beläuft sich auf etwa 1800 Euro – eine Summe, die strategisch gewählt wurde, um für Unternehmen „erschwinglich“ zu erscheinen und gleichzeitig stabile Einnahmen für die Angreifer zu generieren.
Fortschrittliche Technologie und Verbreitungsmethoden
Pay2Key operiert über das anonyme I2P-Netzwerk (Invisible Internet Project), was den Betreibern zusätzliche Anonymität gewährleistet. Das Arsenal der Cyberkriminellen umfasst SFX-Archive, Phishing-Kampagnen, legitime Utilities und hochentwickelte Anti-Detection-Technologien.
Zur Umgehung von Sicherheitssystemen setzen die Entwickler den Themida-Protector ein, der die Erkennung und Analyse des Schadcodes durch IT-Security-Spezialisten erheblich erschwert.
Kryptographische Implementierung und Architektur
Ähnlich seinem Vorgänger Mimic wird Pay2Key als selbstextrahierendes 7-Zip-Archiv verteilt. Für die Identifikation zu verschlüsselnder Dateien nutzt die Malware die legitime Everything-Software und deren API-Schnittstelle.
Die Datenverschlüsselung erfolgt mittels ChaCha20-Stream-Cipher, während für die Schlüsselgenerierung das Elliptic Curve Diffie-Hellman (ECDH) X25519-Protokoll zum Einsatz kommt. Eine Besonderheit von Pay2Key ist die Verwendung vorab generierter Session-Keys, die direkt in den Programmcode eingebettet sind – ein Ansatz, der sich von herkömmlichen Verschlüsselungsverfahren unterscheidet.
Kontinuierliche Weiterentwicklung der Bedrohung
Seit dem ersten Auftreten im Februar zeigt Pay2Key eine kontinuierliche Evolution. Während ursprünglich Version 1.1 verbreitet wurde, ist mittlerweile Version 1.2 aktiv, was die ständige Verbesserung des Schadcodes durch die Entwickler verdeutlicht.
Vielfältige Angriffstaktiken durch Phishing
Der primäre Angriffsvektor gegen russische Organisationen sind sorgfältig orchestrierte Phishing-Kampagnen. Die März- und Mai-Angriffe zielten auf Einzelhandelsunternehmen, Baukonzerne und Softwareentwickler ab, während die April-Kampagne den Finanzsektor ins Visier nahm.
Die Angreifer zeigen bemerkenswerte Kreativität bei der Themenwahl ihrer Phishing-E-Mails: von standardisierten Geschäftsangeboten und Authentifizierungsanfragen bis hin zu ungewöhnlichen Themen wie „Stacheldrahtzäune“ und „Denkmäler für Gedenkstättenkomplexe“.
Die zunehmende Anzahl von Ransomware-Attacken auf russische Unternehmen spiegelt die generelle Evolution der Cyber-Bedrohungslandschaft wider. Neue Gruppierungen distanzieren sich zunehmend von traditionellen Beschränkungen und konkurrieren aggressiv auf dem Underground-Markt, während sie kontinuierlich ihre RaaS-Projekte optimieren, um mehr Partner anzuwerben. Organisationen müssen ihre Abwehrmaßnahmen verstärken, insbesondere durch Mitarbeiterschulungen zur Phishing-Erkennung und die Implementierung mehrschichtiger Cybersecurity-Systeme, um diesen evolvierten Bedrohungen erfolgreich zu begegnen.