Кіберзлочинці продовжують розвивати нові методи атак на корпоративний сектор. Дослідники компанії F6 виявили активне поширення шифрувальника Pay2Key, який працює за моделлю Ransomware as a Service (RaaS) та базується на відомому малварі Mimic. Особливістю цієї загрози є відкрите ігнорування традиційних правил кіберзлочинного середовища, згідно з якими російські організації раніше вважалися недоторканними.
Порушення неписаних законів кіберпростору
Навесні 2025 року зафіксовано щонайменше три цілеспрямовані кампанії проти російських підприємств у критично важливих галузях економіки. Атакам піддалися компанії в сферах роздрібної торгівлі, фінансових послуг, інформаційних технологій та будівництва. Це свідчить про кардинальну зміну підходів у світі організованої кіберзлочинності.
Перші згадки про Pay2Key з’явилися у лютому 2025 року, коли користувач із псевдонімом lsreactive опублікував рекламне оголошення на спеціалізованому хакерському форумі, анонсуючи запуск нового RaaS-проекту.
Бізнес-модель кіберзлочинності: фінансові стимули
Розробники Pay2Key пропонують партнерам привабливі умови співпраці. На підпільних форумах обіцяється середньомісячний дохід від 16500 евро, що робить цей сервіс надзвичайно привабливим для потенційних учасників злочинної схеми.
Середній розмір викупу становить близько 1800 евро, що дозволяє зловмисникам генерувати стабільний прибуток при відносно “доступних” для бізнесу сумах. Така цінова політика збільшує ймовірність сплати викупу жертвами атак.
Технічна архітектура та методи поширення
Pay2Key функціонує через анонімну мережу I2P (Invisible Internet Project), що забезпечує додатковий рівень конфіденційності для операторів. Арсенал кіберзлочинців включає SFX-архіви, фішингові кампанії, легітимні утиліти та передові технології обходу антивірусного захисту.
Для протидії системам безпеки використовується протектор Themida, який значно ускладнює виявлення та аналіз шкідливого коду фахівцями з інформаційної безпеки.
Криптографічні алгоритми та структура
Подібно до свого попередника Mimic, Pay2Key поширюється у вигляді самовитягувальних 7-Zip архівів. Для пошуку файлів, що підлягають шифруванню, використовується легітимна програма Everything та її програмний інтерфейс.
Шифрування даних здійснюється за допомогою потокового алгоритму ChaCha20, а для генерації ключів застосовується протокол обміну ключами Діффі-Хеллмана на еліптичних кривих (ECDH) X25519. Унікальною особливістю є використання попередньо згенерованого набору сесійних ключів, вбудованих у код програми.
Еволюція загрози та тактика атак
З моменту появи у лютому поточного року Pay2Key активно розвивається. Якщо спочатку поширювалася версія 1.1, то наразі актуальною є версія 1.2, що свідчить про постійне вдосконалення шкідливого коду.
Основним вектором атак служать ретельно сплановані фішингові кампанії. Березневі та травневі атаки були спрямовані проти підприємств роздрібної торгівлі, будівельних компаній та розробників програмного забезпечення, тоді як квітнева кампанія зосередилася на фінансовому секторі.
Зловмисники проявляють креативність у виборі тем для шкідливих листів: від стандартних комерційних пропозицій до екзотичних тем на кшталт “паркану з колючим дротом” та “пам’ятника для меморіального комплексу свердловини”.
Зростаюча кількість атак програм-вимагачів на російські компанії відображає загальну тенденцію еволюції кіберзагроз. Нові угруповання все частіше відходять від традиційних обмежень та активно конкурують на тіньовому ринку. Організаціям необхідно посилювати захисні заходи, особливо в сфері навчання співробітників розпізнаванню фішингових атак та впровадження багаторівневих систем кібербезпеки для протидії сучасним загрозам.