Los investigadores de ciberseguridad han identificado una nueva y preocupante amenaza en el panorama del ransomware: Pay2Key, un servicio de ransomware como servicio (RaaS) que está atacando agresivamente a empresas rusas, rompiendo las tradicionales «reglas no escritas» del cibercrimen. Este malware, basado en el conocido Mimic ransomware, representa una evolución significativa en las tácticas de los ciberdelincuentes.
Características Distintivas del Ransomware Pay2Key
Pay2Key opera bajo el modelo RaaS (Ransomware as a Service), lo que permite a múltiples actores maliciosos utilizar la plataforma mediante un sistema de afiliación. Desde febrero de 2025, cuando apareció por primera vez en foros especializados, este ransomware ha evolucionado rápidamente de la versión 1.1 a la 1.2, demostrando un desarrollo activo y continuo.
La infraestructura técnica de Pay2Key utiliza la red anónima I2P (Invisible Internet Project) para mantener el anonimato de sus operadores. Esta elección tecnológica proporciona una capa adicional de protección que complica significativamente los esfuerzos de rastreo por parte de las autoridades.
Modelo Económico y Estructura de Pagos
El atractivo económico de Pay2Key radica en su estructura financiera cuidadosamente diseñada. Los operadores del servicio promocionan ingresos mensuales promedio de 16500 euro para sus afiliados, mientras que el rescate promedio solicitado a las víctimas ronda los 1900 euro.
Esta estrategia de precios relativamente «accesible» está diseñada para maximizar las tasas de pago, ya que muchas empresas consideran que estas sumas son manejables en comparación con los costos potenciales de la pérdida de datos y el tiempo de inactividad operacional.
Metodología de Ataque y Vectores de Infección
Las campañas de Pay2Key se caracterizan por su sofisticación técnica y diversidad táctica. Los atacantes emplean múltiples vectores de infección, incluyendo:
Campañas de phishing altamente personalizadas que utilizan temas comerciales legítimos, desde propuestas comerciales estándar hasta solicitudes inusuales relacionadas con «cercas de alambre de púas» y «monumentos para complejos conmemorativos». Esta diversidad temática demuestra un enfoque creativo para evadir los filtros de seguridad automatizados.
El malware se distribuye principalmente a través de archivos SFX (Self-Extracting Archives) basados en 7-Zip, utilizando herramientas legítimas como Everything para el descubrimiento de archivos y su API para operaciones de búsqueda avanzada.
Arquitectura Criptográfica Avanzada
Desde una perspectiva técnica, Pay2Key implementa un sistema criptográfico robusto que combina el algoritmo de cifrado de flujo ChaCha20 con el protocolo de intercambio de claves Diffie-Hellman en curvas elípticas (ECDH) X25519.
Una característica distintiva del ransomware es su uso de un conjunto preconfigurado de claves de sesión integradas directamente en el código del programa, una aproximación que difiere de los métodos tradicionales de generación de claves dinámicas utilizados por otros ransomware.
Evasión de Sistemas de Seguridad
Para evitar la detección por parte de soluciones antivirus, Pay2Key incorpora el protector Themida, una herramienta comercial de protección de software que complica significativamente el análisis estático y dinámico del código malicioso.
Esta técnica de ofuscación, combinada con el uso de herramientas legítimas del sistema, permite al ransomware mantener un perfil bajo durante las fases iniciales de infección y reconocimiento del sistema objetivo.
Sectores Empresariales Bajo Amenaza
Los análisis de incidentes revelan que Pay2Key ha dirigido sus ataques hacia sectores económicos críticos, incluyendo retail, servicios financieros, tecnologías de la información y construcción. Se han documentado al menos tres campañas dirigidas específicamente durante la primavera de 2025, con ataques en marzo y mayo enfocados en comercio minorista y construcción, mientras que abril vio ataques concentrados en el sector financiero.
La evolución del panorama de ransomware hacia objetivos previamente considerados «protegidos» marca un cambio paradigmático en las reglas del cibercrimen organizado. Las organizaciones deben implementar estrategias de ciberseguridad multicapa, enfatizando la capacitación en reconocimiento de phishing, sistemas de respaldo robustos y monitoreo continuo de amenazas para defenderse efectivamente contra estas amenazas emergentes y en constante evolución.
