2025/08/01 11:44:44

Pay2Key (вирус-вымогатель)

Содержание

2025: Атаки на российские компании в сферах ритейла, финансов, ИТ и строительства
2020: Первые атаки шифровальщика
Примечания
Смотрите также

Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware

2025: Атаки на российские компании в сферах ритейла, финансов, ИТ и строительства

Компания F6, разработчик технологий для борьбы с киберпреступностью, 31 июля 2025 года сообщила об атаках программы-вымогателя Pay2Key на российские организации. Весной 2025 года было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства.

По данным аналитиков департамента киберразведки (Threat Intelligence) F6, вымогательский сервис Pay2Key распространяется на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service, вымогатель как услуга) с конца февраля 2025 года. Несмотря на запрет многих теневых площадок атаковать российских пользователей, злоумышленники применяли шифровальщик для атак целей в России. Так, система F6 MXDR обнаружила и заблокировала рассылки, относящиеся как минимум к трем фишинговым кампаниям, которые были нацелены на российских пользователей. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.

Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».

Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic – семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.

На одном из теневых форумов партнёрам сервиса обещали среднемесячный заработок от 1,5 млн рублей. Уже известны случаи, когда за восстановление доступа участники киберпреступного проекта требовали выкуп — в среднем около 170 тыс. рублей.

Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. На теневых русскоязычных форумах появляется все больше объявлений о создании RaaS-сервисов, и группировки все чаще отходят от негласного правила не атаковать организации в СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой проект, чтобы привлечь еще больше потенциальных партнеров. Мы считаем, что в ближайшее время мы увидим еще больше RaaS-проектов, атакующих в том числе российские компании, — отметил Артур Булгаков, аналитик отдела исследования кибератак Threat Intelligence компании F6.

2020: Первые атаки шифровальщика

Вымогатель Pay2Key способен шифровать сети корпораций всего за час. Об этом стало известно 10 ноября 2020 года.

Ряд компаний и крупных корпораций в Израиле стали жертвами кибератак с использованием данного вымогательского ПО под названием Pay2Key. Первые атаки были зафиксированы специалистами из компании Check Point в конце октября 2020 года, и теперь их число увеличилось.

По словам специалистов, преступники обычно осуществляют атаки после полуночи, когда в компаниях работает меньше ИТ-сотрудников. Вредонос Pay2Key, предположительно, проникает в сеть организаций через слабо защищенное RDP-соединение (протокол удаленного рабочего стола). Злоумышленники получают доступ к корпоративным сетям «за некоторое время до атаки», а вредоносное ПО способно зашифровать сеть жертвы за час.

Проникнув в локальную сеть, хакеры устанавливают на одном из устройств прокси-сервер для обеспечения связи всех копий вредоноса с C&C-сервером. Запуск полезной нагрузки (Cobalt.Client.exe) осуществляется удаленно с помощью легитимной утилиты PsExec.

Многочисленные артефакты компиляции указывают на то, что у вымогателя есть и другое название — Cobalt. Хотя личность злоумышленников остается неизвестной, формулировки в различных строках кода, написанные на ломанном английском, позволяют предположить, что злоумышленник не является носителем английского языка.

Данный вымогатель написан на языке C++. Он шифрует файлы ключом AES, а для связи с C&C-сервером использует RSA-ключи. Таким же образом Pay2Key получает конфигурационный файл со списком расширений для шифрования, шаблоном сообщения с требованием выкупа и т.п.

После завершения шифрования во взломанных системах остаются записки с требованием выкупа. Группировка Pay2Key обычно требует выкуп в размере от 7 до 9 биткойнов (примерно от $110 до $140 тыс.). Схема шифрования преступников выглядит надежной (с использованием алгоритмов AES и RSA), и, к сожалению, эксперты пока не смогли разработать бесплатную версию дешифратора для жертв^[1].