近期,具有伊朗政府支持背景的Pay2Key勒索软件引起了全球网络安全领域的极大关注。Pay2Key不仅重新出现在网络威胁景观中,而且其最新变种Pay2Key.I2P引入了高达80%的利润分成机制,激励广大网络犯罪分子投入更多资源和精力发动攻击,尤其针对以色列和美国的关键目标。Pay2Key的复活与中东地区的地缘政治紧张局势密不可分,尤其是在以色列、伊朗和美国三方关系持续恶化的背景下,网络空间成为激烈对抗的新战场。Pay2Key的运营主体被广泛认为与臭名昭著的伊朗高级持续性威胁组织Fox Kitten(又称Lemon Sandstorm)有关。该组织以其灵活隐蔽的攻击方式和与其他知名勒索软件如Mimic的联系而著称。安全研究人员指出,Pay2Key.I2P不仅吸收了Mimic的部分技术功能,还体现出更加复杂和多样的攻击策略,显示出该组织技术实力的不断提升。
Pay2Key的新颖之处不仅体现在技术层面,更在于其商业模式的转变。传统的勒索软件即服务(RaaS)模式中,开发者通常通过出售恶意软件获得收入,再与部署者分成。Pay2Key.I2P则颠覆了这一模式,允许开发团队直接从成功的勒索攻击中收取全部赎金,然后仅向执行攻击的网络罪犯支付部分利润。此举不仅提高了开发者的利润率,也加速了勒索软件的传播和攻击力度。Pay2Key.I2P的服务器搭建在Invisible Internet Project(I2P)匿名网络上,这一平台以其强大的匿名性和抗审查能力闻名。专家称,这是勒索软件直接依托于I2P托管其基础设施的首次尝试,使得追踪和打击变得更加困难。
Pay2Key的攻击活动自2020年开始便主要针对以色列企业,利用已知漏洞进行入侵。2025年初以来,该软件再次活跃,据统计4个月内有超过51次成功勒索行为,累计获得赎金超过400万美元,个别攻击者净赚盈利达10万美元。Pay2Key特别针对Windows系统提供自解压执行文件格式,而最新版本则首次支持Linux系统,彰显开发者对多平台攻击的重视和技术扩展。攻击流程隐蔽且复杂,常以伪装成Microsoft Word文档的可执行文件作为入口,随后通过命令脚本执行加密操作并部署赎金通知。与此同时,该勒索软件具备多种防御绕过技巧,包括禁用微软Defender防病毒软件以及清理攻击痕迹,提升攻击成功率的同时降低被取证的风险。Pay2Key所体现的背后动机既有金钱利益驱动,也带有明显的意识形态色彩。
除追求利润外,该组织明确表示支持伊朗,并鼓励成员针对以色列和美国发动攻击,这种结合国家利益的网络战策略无疑加剧了中东地区的网络安全威胁。随着美国对伊朗核设施进行空袭,相关情报显示伊朗网络攻击明显增多,相关APT组织纷纷在交通运输、制造业等美国关键基础设施领域展开网络攻势,已为企业运营带来实质性风险。安全专家和企业需高度重视包括Pay2Key在内的伊朗支持的网络威胁,全面提升防御能力,及时修补网络漏洞,加强威胁检测以及应急响应机制。针对潜在勒索软件攻击,务必定期备份重要数据,采用多层次防护方案,确保安全意识覆盖组织全员。总之,Pay2Key.RaaS平台的复苏及其创新的利润分享模式,反映出网络犯罪与国家支持级网络战力量的有机结合,这一威胁的复杂性和破坏力对全球数字经济和关键基础设施构成了持续挑战。面对日益激烈的网络空间对抗,各方必须加强情报共享,技术协同及战略防御,才能有效遏制勒索软件威胁的蔓延,保护信息安全和社会稳定。
。
