В мире угроз информационной безопасности троянцы-шифровальщики, нацеленные на серверные операционные системы семейства Linux, долгое время оставались в тени. Однако эта ситуация меняется: криминальные группировки активно пополняют свой арсенал версиями для Linux, стремясь парализовать ключевую инфраструктуру организаций. Этот тренд требует пристального внимания аналитиков, поскольку атаки на серверы часто приводят к катастрофическим последствиям, включая полную остановку бизнес-процессов и многомиллионные убытки. В свою очередь, исследователи Morphisec Threat Labs сосредоточились на недостаточно изученных угрозах, одной из которых является Linux-вариант иранской группировки Pay2Key. Хотя сама группа не была заметно активна в последних кампаниях, технические особенности её вредоносной программы представляют значительный интерес, так как отражают общие методы, используемые и другими современными семействами программ-вымогателей.
Описание
Недавно обнаруженный образец под условным названием Pay2Key.I2 был впервые зафиксирован в конце августа 2025 года. Это конфигурационный, многофункциональный шифровальщик, требующий для исполнения привилегий суперпользователя (root) и спроектированный для глубокого обхода файловой системы, классификации точек монтирования и шифрования данных с использованием алгоритма ChaCha20. Понимание его внутренней механики важно не только в контексте конкретной группы, но и для всего класса аналогичных угроз для Linux-сред.
Доставка и установка вредоносной программы демонстрирует продуманный подход. Изначально она распространяется в виде shell-скрипта (.sh), который анализирует архитектуру центрального процессора целевого хоста, а затем проверяет доступные менеджеры пакетов для различных дистрибутивов Linux, чтобы загрузить архивное программное обеспечение (TAR). Внутри архива находятся два исполняемых файла в формате ELF: один для 64-битных x86-систем, другой - для ARM64. Такой дуальный подход явно указывает на намерение операторов охватить гетерогенную инфраструктуру, включая как традиционные серверы, так и современные ARM-системы, с помощью единого механизма доставки. Оба бинарника используют общую кодовую базу на C++, что говорит о наличии зрелого и поддерживаемого процесса сборки, а не о разовом инструменте.
Перед началом любой деструктивной активности программа-вымогатель выполняет строгую проверку прав. Если процесс не запущен от имени суперпользователя, он немедленно завершает работу. Ранний этап выполнения включает парсинг JSON-конфигурации, которая определяет всё поведение вредоноса: пороги и режимы шифрования, фильтры, список служб и процессов для остановки, а также криптографический материал операторов. Конфигурация обширна и включает такие параметры, как расширение для зашифрованных файлов, шаблон вымогательской записки, процент выборочного шифрования, порог размера файла для выбора режима, списки процессов для принудительного завершения (SIGKILL), системных служб для отключения, а также чёрные списки расширений, файлов и каталогов, которые следует пропускать.
Для эффективной обработки данных вредоносная программа использует пулы воркеров (рабочих процессов), разделяя задачи обхода файловой системы и непосредственно шифрования файлов. Это позволяет параллелизировать работу и увеличить скорость атаки. Важной особенностью является предварительная фильтрация точек монтирования, что, вероятно, помогает избежать шифрования специальных или сетевых файловых систем, которое могло бы привести к ошибкам или преждевременному обнаружению.
Перед самим шифрованием программа выполняет серию подготовительных шагов. Она строит уникальные выходные пути, выбирает между полным и частичным шифрованием на основе заданных в конфигурации порогов, а также пропускает файлы, определённые по магическим числам (например, исполняемые файлы MZ для Windows или ELF для Linux) или имеющие нулевой размер. Для каждого файла генерируется уникальный ключ, записывается метаданные, и только затем применяется шифрование. Шифрование контента использует алгоритм ChaCha20 с уникальным для файла ключом. При полном шифровании данные считываются и записываются блоками. Выборочное (частичное) шифрование затрагивает детерминированные сегменты файла, вычисляемые на основе его размера, заданного процента и seed, производного от ключа. Финальным этапом записываются метаданные в конец файла.
Эксперты Morphisec в своём отчёте подчёркивают, что техническая сложность и многофункциональность Pay2Key.I2 служат тревожным сигналом для индустрии. Этот образец демонстрирует, что разработчики вредоносного программного обеспечения для Linux вкладывают значительные усилия в создание надёжных, гибких и эффективных инструментов, способных адаптироваться к разнообразным средам. Атаки на серверы Linux перестают быть экзотикой и становятся частью стандартного арсенала продвинутых группировок, включая те, что ассоциируются с государственными интересами. Следовательно, организациям, чья инфраструктура построена на Linux, необходимо пересмотреть стратегии защиты, уделяя особое внимание строгому контролю привилегий, мониторингу аномальной активности на критичных серверах и регулярному анализу угроз, специфичных для данной операционной системы. Игнорирование этой тенденции может привести к тому, что следующей целью для подобной высокотехнологичной атаки окажутся именно их производственные системы.
Индикаторы компрометации
SHA256
- 5d894e4736548d1edfdcf90dad62a21e16fd4f60882f5c6258d2d770a145a333
- 6b64a6bbab8030b7411cded1dfb1b4cf77ac127335cead7edf43930771de71ff
- a7782e776a5358b71f2fd7e6bf8e28035c2a7d5aee48a344d6eed3deb403bd50
