Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware Pay2Key.I2P

Ransomware Pay2Key.I2P

Par Mezo en Ransomware, Menace persistante avancée (APT)
Se traduisent par :

Suite à l'escalade des tensions entre l'Iran, Israël et les États-Unis, une opération sophistiquée de rançongiciel en tant que service (RaaS) baptisée Pay2Key.I2P a refait surface. Soutenue par des intérêts iraniens, cette campagne, à motivation financière et idéologique, offre des avantages accrus aux cybercriminels ciblant Israël et les États-Unis. Cette nouvelle variante a introduit de nouvelles tactiques d'infrastructure et élargi ses cibles, marquant une évolution inquiétante dans le paysage des rançongiciels.

Une menace familière avec un nouveau visage

Associé pour la première fois à des attaques en octobre 2020, Pay2Key est depuis longtemps associé à des opérations sponsorisées par l'État iranien. Sa dernière incarnation, Pay2Key.I2P, serait liée à Fox Kitten (également connu sous le nom de Lemon Sandstorm), un groupe connu pour ses menaces persistantes avancées (APT). Cette campagne exploiterait ou incorporerait notamment des fonctionnalités du rançongiciel Mimic, ce qui renforcerait sa sophistication.

Le modèle RaaS actualisé offre désormais une participation aux bénéfices de 80 %, contre 70 % auparavant, notamment aux filiales proches des intérêts iraniens ou prêtes à mener des attaques contre les adversaires de l'Iran. Ce changement témoigne d'un mélange évident de motivations financières et idéologiques.

L’essor de la plateforme RaaS basée sur I2P

Ce qui distingue Pay2Key.I2P, c'est l'utilisation du Projet Internet Invisible (I2P) pour héberger l'intégralité de son infrastructure. Si certaines familles de logiciels malveillants ont utilisé I2P pour des fonctions de commandement et de contrôle (C2), Pay2Key.I2P est la première opération RaaS connue à fonctionner entièrement au sein de ce réseau anonymisé. Cela ajoute une couche de furtivité et de résilience qui complique les opérations de démantèlement des forces de l'ordre.

En février 2025, le groupe a revendiqué plus de 51 paiements de rançon réussis, générant plus de 4 millions de dollars de revenus au total, les opérateurs individuels gagnant jusqu'à 100 000 dollars. Ces chiffres soulignent l'ampleur et le succès de l'opération en si peu de temps.

Un événement particulièrement marquant s'est produit le 20 février 2025, lorsqu'un utilisateur du darknet, connu sous le pseudonyme « Isreactive », a fait la promotion du rançongiciel sur un forum russe consacré à la cybercriminalité. Ce message permettait à quiconque de déployer le binaire contre une récompense de 20 000 $ par attaque réussie, marquant ainsi un tournant dans la dynamique du RaaS en permettant une participation plus large et une meilleure génération de revenus pour les développeurs.

Progrès techniques et capacités furtives

Pay2Key.I2P fait preuve d'un raffinement constant, le constructeur de ransomware obtenant des capacités de ciblage Linux à partir de juin 2025. Sa variante Windows est distribuée sous forme d'exécutable dans une archive auto-extractible (SFX), utilisant des techniques avancées pour contourner la détection.

Certaines fonctionnalités clés incluent :

  • Désactivation de l'antivirus Microsoft Defender pendant l'exécution
  • Effacement des artefacts malveillants pour réduire l'empreinte médico-légale

Utilisation de charges utiles déguisées, telles que des fichiers exécutables se faisant passer pour des documents Microsoft Word, qui déclenchent ensuite des scripts cmd pour démarrer le processus de cryptage et déposer des notes de rançon

Ces comportements furtifs rendent la détection et la correction beaucoup plus difficiles pour les défenseurs.

Un paysage de menaces plus large et des implications stratégiques

Pay2Key.I2P est plus qu'une simple entreprise criminelle ; il représente un front de cyberguerre aligné sur les intérêts de l'État iranien. Ses fondements idéologiques sont évidents à travers ses incitations à verser des paiements ciblés et sa sélection stratégique des victimes.

Cette menace se développe dans un contexte de tensions géopolitiques accrues. Suite aux frappes aériennes américaines sur des installations nucléaires iraniennes, les agences de renseignement américaines ont émis des avertissements concernant d'éventuelles cyberattaques de représailles. Entre mai et juin 2025, les chercheurs ont recensé 28 cyberattaques attribuées à l'Iran, principalement ciblées sur les secteurs des transports et de l'industrie manufacturière américains.

Parmi les principaux groupes APT iraniens à l’origine de ces campagnes figurent :

  • Eau boueuse
  • APT33
  • Plateforme pétrolière
  • Cyber Av3ngers
  • Chaton renard
  • Justice intérieure

Ces acteurs ciblent de plus en plus les infrastructures industrielles et critiques aux États-Unis et dans les pays alliés, soulignant le besoin urgent d’améliorer les défenses en matière de cybersécurité.

Conclusion : Préparez-vous à une menace en constante évolution

Pay2Key.I2P nous rappelle brutalement comment les menaces de rançongiciels évoluent vers des outils d'influence géopolitique et de cyberguerre. Avec sa sophistication technique, ses importantes récompenses d'affiliation et ses motivations idéologiques, cette campagne n'est pas seulement une question d'argent, mais aussi de pouvoir et de disruption. Les organisations, en particulier celles des secteurs critiques, doivent rester vigilantes, s'assurer que les vulnérabilités de leurs systèmes sont corrigées et mettre en œuvre des stratégies de défense proactives pour lutter contre cette menace émergente.

Tendance

Le plus regardé

Chargement...