✔Вымогатель Pay2Key нацелен на российские компании - «Новости»

02 августа 2025 0 Новости / Изображения / Преимущества стилей / Интернет и связь / Заработок / Добавления стилей / Отступы и поля / Вёрстка 0

Аналитики компании F6 обнаружили новый вымогательский сервис Pay2Key, распространяемый по схеме RaaS (Ransomware as a Service) и построенный на базе шифровальщика Mimic.

Исследователи пишут, что, невзирая на негласные правила, запрещающие «работать по RU», партнеры Pay2Key пытаются атаковать компании в России. Так, весной 2025 года Pay2Key использовался как минимум в трех кампаниях, нацеленных на российские организации в сферах ритейла, финансов, ИТ и строительства.

Первые следы активности и реклама Pay2Key появились в феврале 2025 года, когда пользователь с ником lsreactive опубликовал на хак-форуме объявление о запуске нового RaaS.

Реклама Pay2Key

Эксперты отмечают, что на одном из хак-форумов партнерам RaaS-сервиса обещали среднемесячный заработок от 1,5 млн рублей. Кроме того, уже известны случаи, когда за восстановление доступа участники RaaS-схемы требовали выкуп (в среднем около 170 000 рублей).

Сервис работает в I2P (Invisible Internet Project), а в арсенале атакующих — SFX-архивы, фишинг, легитимные утилиты и продвинутые способы обхода антивирусной защиты. К примеру, для противодействия детектированию средствами защиты и анализу шифровальщик Pay2Key защищен протектором Themida.

Как уже было сказано выше, исследователи связывают Pay2Key с малварью Mimic, которую, в свою очередь, называют «одной из самых сложных современных программ-вымогателей».

Аналогично Mimic на компьютер жертвы Pay2Key попадает в виде самораспаковывающегося 7-Zip-архива (7-Zip SFX). Для поиска шифруемых файлов применяется легитимная программа Everything и ее API.

Шифрование данных осуществляется с использованием алгоритма потокового шифрования ChaCha20, для получения ключа ChaCha20 используется реализация протокола Диффи-Хеллмана на эллиптических кривых (ECDH) X25519.

В отличие от других программ-вымогателей Mimic/Pay2Key не генерирует на хосте сессионные ключи, шифруя затем сессионный закрытый ключ с помощью открытого мастер-ключа, но вместо этого использует в качестве сессионного ключа случайно выбранный из готового набора, содержащегося в коде шифровальщика. Для проведения массовых атак программы-вымогатели Mimic/Pay2Key содержат большое количество сессионных ключей.

В феврале текущего года распространялся Pay2Key версии 1.1, а на настоящий момент актуальной является версия 1.2.

Свои атаки, направленные против российских организаций, партнеры Pay2Key строят на фишинговых кампаниях. Так, мартовская и майская кампании были нацелены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.

Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».

Вымогатель Pay2Key нацелен на российские компании - «Новости»

Фишинговое письмо

«Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. Несмотря на тот факт, что основные злоумышленники, атакующие российские компании так или иначе политически мотивированы, а в своих атаках используют программы-вымогатели, основанные на утекших инструментариях таких шифровальщиков как LockBit и Babuк, появляются и новые, не похожие на всех группировки. Стоит отметить, что на форумах появляется все больше объявлений о создании RaaS-сервисов, более того, новые группировки все чаще отходят от негласного правила не атаковать СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой RaaS-проект, дабы привлечь еще больше потенциальных партнеров», — заключают эксперты.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Аналитики компании F6 обнаружили новый вымогательский сервис Pay2Key, распространяемый по схеме RaaS (Ransomware as a Service) и построенный на базе шифровальщика Mimic. Исследователи пишут, что, невзирая на негласные правила, запрещающие «работать по RU», партнеры Pay2Key пытаются атаковать компании в России. Так, весной 2025 года Pay2Key использовался как минимум в трех кампаниях, нацеленных на российские организации в сферах ритейла, финансов, ИТ и строительства. Первые следы активности и реклама Pay2Key появились в феврале 2025 года, когда пользователь с ником lsreactive опубликовал на хак-форуме объявление о запуске нового RaaS. Реклама Pay2Key Эксперты отмечают, что на одном из хак-форумов партнерам RaaS-сервиса обещали среднемесячный заработок от 1,5 млн рублей. Кроме того, уже известны случаи, когда за восстановление доступа участники RaaS-схемы требовали выкуп (в среднем около 170 000 рублей). Сервис работает в I2P (Invisible Internet Project), а в арсенале атакующих — SFX-архивы, фишинг, легитимные утилиты и продвинутые способы обхода антивирусной защиты. К примеру, для противодействия детектированию средствами защиты и анализу шифровальщик Pay2Key защищен протектором Themida. Как уже было сказано выше, исследователи связывают Pay2Key с малварью Mimic, которую, в свою очередь, называют «одной из самых сложных современных программ-вымогателей». Аналогично Mimic на компьютер жертвы Pay2Key попадает в виде самораспаковывающегося 7-Zip-архива (7-Zip SFX). Для поиска шифруемых файлов применяется легитимная программа Everything и ее API. Шифрование данных осуществляется с использованием алгоритма потокового шифрования ChaCha20, для получения ключа ChaCha20 используется реализация протокола Диффи-Хеллмана на эллиптических кривых (ECDH) X25519. В отличие от других программ-вымогателей Mimic/Pay2Key не генерирует на хосте сессионные ключи, шифруя затем сессионный закрытый ключ с помощью открытого мастер-ключа, но вместо этого использует в качестве сессионного ключа случайно выбранный из готового набора, содержащегося в коде шифровальщика. Для проведения массовых атак программы-вымогатели Mimic/Pay2Key содержат большое количество сессионных ключей. В феврале текущего года распространялся Pay2Key версии 1.1, а на настоящий момент актуальной является версия 1.2. Свои атаки, направленные против российских организаций, партнеры Pay2Key строят на фишинговых кампаниях. Так, мартовская и майская кампании были нацелены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов. Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины». Фишинговое письмо «Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. Несмотря на тот факт, что основные злоумышленники, атакующие российские компании так или иначе политически мотивированы, а в своих атаках используют программы-вымогатели, основанные на утекших инструментариях таких шифровальщиков как LockBit и Babuк, появляются и новые, не похожие на всех группировки. Стоит отметить, что на форумах появляется все больше объявлений о создании RaaS-сервисов, более того, новые группировки все чаще отходят от негласного правила не атаковать СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой RaaS-проект, дабы привлечь еще больше потенциальных партнеров», — заключают эксперты.

запостил(а)

Юлиан

Вернуться назад

Смотрите также

Малварь Mimic злоупотребляет возможностями Everything API в Windows - «Новости»

44 сайта, которые зарабатывают больше $100 000 - «Надо знать»

MEGANews. Самые важные события в мире инфосека за август - «Новости»

А что там на главной? )))

Комментарии )))

« Август 2025 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31