Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware Pay2Key.I2P Erpressersoftware

Pay2Key.I2P Erpressersoftware

Von Mezo in Ransomware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Im Zuge der eskalierenden Spannungen zwischen dem Iran, Israel und den USA ist eine ausgeklügelte Ransomware-as-a-Service (RaaS)-Operation namens Pay2Key.I2P wieder aufgetaucht. Diese finanziell und ideologisch motivierte Kampagne wird von iranischen Interessen unterstützt und bietet Cyberkriminellen, die es auf Israel und die USA abgesehen haben, erhöhte Anreize. Die aktualisierte Variante führt neue Infrastrukturtaktiken ein und erweitert ihre Angriffsmöglichkeiten – eine besorgniserregende Entwicklung in der Ransomware-Landschaft.

Eine bekannte Bedrohung mit einem neuen Gesicht

Pay2Key wurde erstmals im Oktober 2020 mit Angriffen in Verbindung gebracht und wird seit langem mit staatlich geförderten Operationen im Iran in Verbindung gebracht. Die neueste Version, Pay2Key.I2P, steht vermutlich in Verbindung mit Fox Kitten (auch bekannt als Lemon Sandstorm), einer bekannten Advanced Persistent Threat (APT)-Gruppe. Insbesondere wird vermutet, dass diese Kampagne Funktionen der Mimic-Ransomware nutzt oder integriert, was ihre Raffinesse erhöht.

Das aktualisierte RaaS-Modell bietet nun eine Gewinnbeteiligung von 80 % – eine Steigerung gegenüber den bisherigen 70 %. Dies gilt insbesondere für Partner, die mit iranischen Interessen verbunden sind oder bereit sind, Angriffe gegen iranische Gegner durchzuführen. Diese Veränderung zeigt eine klare Mischung aus finanziellen und ideologischen Motiven.

Der Aufstieg der I2P-basierten RaaS-Plattform

Das Besondere an Pay2Key.I2P ist die Nutzung des Invisible Internet Project (I2P) als Host für die gesamte Infrastruktur. Während einige Malware-Familien I2P für Command-and-Control-Funktionen (C2) nutzen, ist Pay2Key.I2P der erste bekannte RaaS-Vorgang, der vollständig in diesem anonymisierten Netzwerk ausgeführt wird. Dies erhöht die Tarnung und Widerstandsfähigkeit und erschwert die Ausschaltung durch Strafverfolgungsbehörden.

Im Februar 2025 meldete die Gruppe über 51 erfolgreiche Lösegeldzahlungen und erzielte damit einen Gesamtumsatz von über 4 Millionen US-Dollar. Einzelne Betreiber verdienten dabei bis zu 100.000 US-Dollar. Diese Zahlen unterstreichen das Ausmaß und den Erfolg der Operation innerhalb kurzer Zeit.

Ein besonders bemerkenswertes Ereignis ereignete sich am 20. Februar 2025, als ein Darknet-Nutzer mit dem Alias „Isreactive“ die Ransomware in einem russischen Cybercrime-Forum bewarb. Der Beitrag ermöglichte es jedem, die Binärdatei gegen eine Auszahlung von 20.000 US-Dollar pro erfolgreichem Angriff einzusetzen. Dies führte zu einer Veränderung der RaaS-Dynamik, da es eine breitere Beteiligung und höhere Einnahmen für Entwickler ermöglichte.

Technische Fortschritte und Tarnfähigkeiten

Pay2Key.I2P wird ständig weiterentwickelt. Seit Juni 2025 ist der Ransomware-Builder auch für Linux geeignet. Die Windows-Variante wird als ausführbare Datei in einem selbstextrahierenden (SFX) Archiv verteilt und nutzt fortschrittliche Techniken, um die Erkennung zu umgehen.

Zu den wichtigsten Funktionen gehören:

  • Deaktivieren von Microsoft Defender Antivirus während der Ausführung
  • Löschen bösartiger Artefakte zur Reduzierung des forensischen Fußabdrucks

Verwendung getarnter Nutzlasten, wie z. B. ausführbarer Dateien, die sich als Microsoft Word-Dokumente tarnen und dann CMD-Skripte auslösen, um den Verschlüsselungsprozess zu starten und Lösegeldforderungen zu hinterlassen.

Dieses heimliche Verhalten erschwert Verteidigern die Erkennung und Behebung erheblich.

Eine breitere Bedrohungslandschaft und strategische Implikationen

Pay2Key.I2P ist mehr als nur ein kriminelles Unternehmen; es stellt eine Cyberkriegsfront dar, die den Interessen des iranischen Staates dient. Seine ideologischen Grundlagen werden durch gezielte Auszahlungsanreize und die strategische Opferauswahl deutlich.

Diese Bedrohung entfaltet sich vor dem Hintergrund zunehmender geopolitischer Spannungen. Nach amerikanischen Luftangriffen auf iranische Atomanlagen warnten US-Geheimdienste vor möglichen Vergeltungsangriffen im Cyberspace. Zwischen Mai und Juni 2025 registrierten Forscher 28 dem Iran zugeschriebene Cyberangriffe, die sich vor allem auf den US-Transport- und Fertigungssektor konzentrierten.

Zu den prominenten iranischen APT-Gruppen, die hinter diesen Kampagnen stehen, gehören:

  • Schlammiges Wasser
  • APT33
  • Bohrinsel
  • Cyber Av3ngers
  • Fuchskätzchen
  • Heimatgerechtigkeit

Diese Akteure zielen zunehmend auf die industrielle und kritische Infrastruktur sowohl in den USA als auch in verbündeten Staaten ab, was die dringende Notwendigkeit einer verbesserten Cybersicherheitsabwehr unterstreicht.

Fazit: Bereiten Sie sich auf eine sich entwickelnde Bedrohung vor

Pay2Key.I2P ist ein deutliches Beispiel dafür, wie sich Ransomware-Bedrohungen zu Werkzeugen geopolitischer Einflussnahme und Cyberkriegsführung entwickeln. Mit technischer Raffinesse, hohen Affiliate-Prämien und ideologischen Motiven geht es bei dieser Kampagne nicht nur um Geld, sondern um Macht und Disruption. Organisationen, insbesondere in kritischen Sektoren, müssen wachsam bleiben, sicherstellen, dass Systemschwachstellen geschlossen werden, und proaktive Verteidigungsstrategien implementieren, um dieser neuen Bedrohung entgegenzuwirken.

Im Trend

Am häufigsten gesehen

Wird geladen...