Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware Pay2Key.I2P

Ransomware Pay2Key.I2P

Por Mezo en Ransomware, Amenaza persistente avanzada (APT)
Traducir a:

Ante la escalada de tensiones entre Irán, Israel y Estados Unidos, ha resurgido una sofisticada operación de ransomware como servicio (RaaS) denominada Pay2Key.I2P. Con el respaldo de intereses iraníes, esta campaña, con motivaciones económicas pero ideológicas, ofrece mayores incentivos a los ciberdelincuentes que atacan a Israel y Estados Unidos. La variante actualizada ha introducido nuevas tácticas de infraestructura y ampliado sus capacidades de ataque, lo que marca una preocupante evolución en el panorama del ransomware.

Una amenaza familiar con una cara nueva

Vinculado inicialmente a ataques en octubre de 2020, Pay2Key lleva mucho tiempo asociado con operaciones patrocinadas por el estado iraní. Se cree que su última versión, Pay2Key.I2P, está vinculada a Fox Kitten (también conocido como Lemon Sandstorm), un conocido grupo de amenazas persistentes avanzadas (APT). Cabe destacar que se cree que esta campaña aprovecha o incorpora características del ransomware Mimic, lo que aumenta su sofisticación.

El modelo RaaS actualizado ahora ofrece una participación en las ganancias del 80%, un aumento respecto al 70% anterior, específicamente a afiliados alineados con los intereses iraníes o dispuestos a realizar ataques contra los adversarios de Irán. Este cambio demuestra una clara combinación de motivaciones financieras e ideológicas.

El auge de la plataforma RaaS basada en I2P

Lo que distingue a Pay2Key.I2P es que utiliza el Proyecto de Internet Invisible (I2P) para alojar toda su infraestructura. Si bien algunas familias de malware han utilizado I2P para funciones de Comando y Control (C2), Pay2Key.I2P es la primera operación RaaS conocida que se ejecuta completamente dentro de esta red anónima. Esto añade un nivel de sigilo y resiliencia que dificulta los esfuerzos de desmantelamiento por parte de las fuerzas del orden.

En febrero de 2025, el grupo reclamó más de 51 pagos de rescate exitosos, generando más de 4 millones de dólares en ingresos totales, con operadores individuales que obtuvieron ganancias de hasta 100.000 dólares. Estas cifras subrayan la escala y el éxito de la operación en un corto plazo.

Un evento particularmente notable ocurrió el 20 de febrero de 2025, cuando un usuario de la darknet, con el alias "Isreactive", anunció el ransomware en un foro ruso sobre ciberdelincuencia. La publicación permitía a cualquiera implementar el binario a cambio de un pago de 20.000 dólares por cada ataque exitoso, lo que marcó el comienzo de un cambio en la dinámica de RaaS al permitir una mayor participación y una mayor captación de ingresos para los desarrolladores.

Avances técnicos y capacidades de sigilo

Pay2Key.I2P demuestra un refinamiento constante, y el creador del ransomware obtuvo capacidades para atacar a Linux a partir de junio de 2025. Su variante para Windows se distribuye como un ejecutable dentro de un archivo autoextraíble (SFX), utilizando técnicas avanzadas para evitar la detección.

Algunas características clave incluyen:

  • Deshabilitar Microsoft Defender Antivirus durante la ejecución
  • Borrar artefactos maliciosos para reducir la huella forense

Utilizando cargas útiles disfrazadas, como archivos ejecutables que se hacen pasar por documentos de Microsoft Word, que luego activan scripts cmd para comenzar el proceso de cifrado y dejar notas de rescate.

Estos comportamientos sigilosos hacen que la detección y la remediación sean significativamente más difíciles para los defensores.

Un panorama de amenazas más amplio e implicaciones estratégicas

Pay2Key.I2P es más que una simple empresa criminal; representa un frente de ciberguerra alineado con los intereses del estado iraní. Sus fundamentos ideológicos se evidencian en sus incentivos de pago selectivos y la selección estratégica de víctimas.

Esta amenaza se desarrolla en un contexto de crecientes tensiones geopolíticas. Tras los ataques aéreos estadounidenses contra instalaciones nucleares iraníes, las agencias de inteligencia estadounidenses han emitido advertencias sobre posibles ciberataques de represalia. Entre mayo y junio de 2025, investigadores registraron 28 ciberataques atribuidos a Irán, principalmente centrados en los sectores del transporte y la manufactura estadounidenses.

Entre los grupos iraníes más destacados de la APT que están detrás de estas campañas se incluyen:

  • Agua fangosa
  • APT33
  • Plataforma petrolífera
  • Ciberdelincuentes
  • Gatito zorro
  • Justicia Patria

Estos actores apuntan cada vez más a la infraestructura industrial y crítica tanto en Estados Unidos como en países aliados, lo que pone de relieve la urgente necesidad de mejorar las defensas de ciberseguridad.

Conclusión: Prepárese para una amenaza en evolución

Pay2Key.I2P es un claro recordatorio de cómo las amenazas de ransomware se están convirtiendo en herramientas de influencia geopolítica y ciberguerra. Con sofisticación técnica, altas recompensas para afiliados y motivaciones ideológicas, esta campaña no se trata solo de dinero, sino de poder y disrupción. Las organizaciones, especialmente las de sectores críticos, deben mantenerse alerta, asegurarse de que las vulnerabilidades del sistema estén corregidas e implementar estrategias de defensa proactivas para combatir esta amenaza emergente.

Tendencias

Mas Visto

Cargando...