Специалисты компании F6 выявили новую угрозу в сфере кибербезопасности — вымогательский сервис Pay2Key, который активно распространяется по модели RaaS (Ransomware as a Service). Этот шифровальщик построен на основе известного малвара Mimic и уже успел зарекомендовать себя как серьезная угроза для российского бизнеса.
Нарушение неписаных правил киберпреступности
Особую тревогу вызывает тот факт, что операторы Pay2Key открыто игнорируют традиционные «правила» теневого сообщества, согласно которым российские организации считались неприкосновенными. Весной 2025 года зафиксировано минимум три целенаправленные кампании против российских предприятий в ключевых отраслях экономики: ритейле, финансовом секторе, информационных технологиях и строительстве.
Первые упоминания о Pay2Key появились в феврале 2025 года, когда пользователь с псевдонимом lsreactive разместил рекламное объявление на специализированном хакерском форуме, анонсируя запуск нового RaaS-проекта.
Экономика киберпреступности: привлекательные условия для партнеров
Создатели Pay2Key предлагают своим партнерам весьма заманчивые финансовые перспективы. На хакерских форумах обещается среднемесячный доход от 16500 евро, что делает этот RaaS-сервис крайне привлекательным для потенциальных участников преступной схемы.
Размер выкупа, требуемого от жертв атак, составляет в среднем около 1800 евро, что позволяет злоумышленникам генерировать стабильный доход при относительно «доступных» для бизнеса суммах.
Технические особенности и методы распространения
Pay2Key функционирует через анонимную сеть I2P (Invisible Internet Project), что обеспечивает дополнительный уровень конфиденциальности для операторов. В арсенале киберпреступников находится широкий спектр инструментов: SFX-архивы, фишинговые кампании, легитимные утилиты и передовые технологии обхода антивирусной защиты.
Для противодействия системам безопасности разработчики применяют протектор Themida, который значительно усложняет обнаружение и анализ вредоносного кода специалистами по информационной безопасности.
Криптографические алгоритмы и архитектура
Подобно своему предшественнику Mimic, Pay2Key распространяется в виде самораспаковывающихся 7-Zip архивов. Для поиска файлов, подлежащих шифрованию, используется легитимная программа Everything и ее программный интерфейс (API).
Шифрование данных осуществляется с помощью потокового алгоритма ChaCha20, а для генерации ключей применяется протокол обмена ключами Диффи-Хеллмана на эллиптических кривых (ECDH) X25519. Уникальной особенностью Pay2Key является использование предварительно сгенерированного набора сессионных ключей, встроенных в код программы, что отличает его от традиционных подходов к шифрованию.
Эволюция угрозы: от версии 1.1 к 1.2
С момента появления в феврале текущего года Pay2Key активно развивается. Если изначально распространялась версия 1.1, то в настоящее время актуальной является версия 1.2, что свидетельствует о постоянном совершенствовании вредоносного кода.
Тактика атак: разнообразие фишинговых кампаний
Основным вектором атак на российские организации служат тщательно спланированные фишинговые кампании. Мартовские и майские атаки были направлены против предприятий розничной торговли, строительных компаний и разработчиков программного обеспечения, в то время как апрельская кампания сосредоточилась на финансовом секторе.
Злоумышленники проявляют креативность в выборе тем для вредоносных писем: от стандартных коммерческих предложений и запросов на подтверждение учетных данных до экзотических тем вроде «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».
Растущее количество атак программ-вымогателей на российские компании отражает общую тенденцию эволюции киберугроз. Новые группировки все чаще отходят от традиционных ограничений и активно конкурируют на теневом рынке, постоянно совершенствуя свои RaaS-проекты для привлечения большего числа партнеров. Организациям необходимо усиливать защитные меры, особенно в области обучения сотрудников распознаванию фишинговых атак и внедрения многоуровневых систем кибербезопасности.