Gangue de ransomware Pay2Key intensifica ataques ao US e Israel

São Paulo — InkDesign News — A gangue de ransomware Pay2Key, ligada a um grupo de ameaças de estado iraniano, reemergiu com uma nova abordagem, focando em organizações ocidentais e aumentando os pagamentos aos afiliados em ataques que atendem a seus objetivos geopolíticos.

Vetor de ataque

O Pay2Key, ativo desde 2020, executou uma série de ataques cibernéticos, inicialmente visando organizações israelenses. Segundo um relatório da Morphisec Labs, a gangue agora aumentou a divisão de lucros de 70% para 80% em ataques contra “os inimigos do Irã” (“the enemies of Iran”) em resposta ao conflito entre Irã, Israel e EUA.

Impacto e resposta

A nova versão do ransomware, chamada Pay2Ket.I2P, foi identificada como a primeira a utilizar a rede I2P em vez da tradicional Tor, facilitando a comunicação com as vítimas e o gerenciamento de resgates. Com mais de 51 pagamentos bem-sucedidos em quatro meses, a gangue arrecadou mais de US$ 4 milhões em resgates. Segundo os pesquisadores, “a eficácia do grupo é inegável” (“the group’s effectiveness is undeniable”).

Análise e recomendações

A Morphisec informou que a comunicação com agentes da Pay2Key revela uma postura agressiva voltada para a ideologia, que busca causar dano aos inimigos do Irã. Os especialistas recomendaram a implementação de defesas proativas dadas as crescentes tensões geopolíticas. Entre as indicações de comprometimento (IoCs) incluídas no relatório, destaca-se um script PowerShell ofuscado, que cria uma “zona cega” no Windows Defender, permitindo a execução de cargas adicionais sem acionar os mecanismos de defesa.

Atualizações e projeções em torno do Pay2Key devem ser monitoradas, uma vez que o cenário de ataques cibernéticos pode recrudescer com a evolução da geopolítica internacional, afetando organizações em todo o mundo.

Fonte: (Dark Reading – Segurança Cibernética)