Группа вымогателей Pay2Key, тесно связанная с иранскими государственными интересами, вновь заявила о себе масштабной атакой на организацию в сфере здравоохранения США в феврале 2026 года. Этот инцидент, расследованный экспертами Beazley Security, демонстрирует не просто возвращение старой угрозы, а её качественную эволюцию. Последний вариант вредоносного ПО стал серьёзным апгрейдом по сравнению с кампаниями середины 2025 года, получив улучшения в области маскировки, исполнения и противодействия компьютерной криминалистике. При этом атака заметно отклонилась от привычного сценария двойного вымогательства, оставив открытыми вопросы о конечных целях операторов.
Описание
Исторически активность Pay2Key коррелирует с обострением геополитической напряжённости вокруг Ирана. Группа, публично появившаяся в 2020 году, неоднократно атаковала западные, в первую очередь американские и израильские, организации. Ещё в августе 2024 года ФБР, Агентство кибербезопасности и инфраструктурной безопасности США (CISA) и Киберпреступный центр Министерства обороны США в совместном отчёте оценили Pay2Key как "информационную операцию", а финансовые следы указывали на иранские государственные интересы. Последняя волна атак, судя по всему, совпала с новой фазой конфликта между США, Израилем и Ираном.
Особенностью недавнего инцидента стало полное отсутствие признаков эксфильтрации данных, что является резким отклонением как от собственной практики группы, так и от общеотраслевого тренда на двойное вымогательство. Это может указывать на смену тактики или на особо тщательную зачистку следов. Между тем, техническая сторона атаки стала только изощрённее. Аналитики Beazley Security и Halcyon детально восстановили цепочку действий злоумышленника, которая началась с компрометации учётной записи администратора за семь дней до активных действий. Угроза провела в сети жертвы несколько дней в состоянии покоя, используя для первоначального доступа уже установленный в организации TeamViewer, что позволило ей слиться с фоновой ИТ-активностью.
После установки плацдарма операторы приступили к сбору учётных данных с помощью таких инструментов, как Mimikatz, LaZagne и ExtPassword, а затем перемещались по сети, используя легитимные средства вроде консоли управления Active Directory (dsa.msc). Финальная стадия - развёртывание шифровальщика - была проведена с беспрецедентной скоростью: полное шифрование среды заняло около трёх часов, при этом активная фаза заняла лишь час. Однако главные новшества кроются в механизмах уклонения от защиты. Вредонос использовал самораспаковывающийся архив, который в памяти расшифровывал и исполнял скрипты, избегая записи на диск. Для отключения защитных решений был применён хитрый трюк с регистрацией в Windows Security Center поддельного антивируса Avast, что заставило встроенный защитник Windows отключиться.
Кроме того, шифровальщик продемонстрировал высокую осведомлённость о среде. Он приостанавливал BitLocker, переводя ключи в открытый текст, принудительно отключал спящий режим и гибернацию, останавливал и отключал виртуальные машины Hyper-V, а также методично уничтожал пути для восстановления: отключал среду восстановления Windows и удалял каталоги резервных копий. После завершения шифрования, добавлявшего файлам расширение .6zldh_p2k, вредонос очищал журналы событий и удалял собственные артефакты маскировки, что существенно затрудняет последующий криминалистический анализ. Этот уровень внимания к антифорензике ранее у данной группы не наблюдался.
Параллельно с техническим развитием сама будущность проекта Pay2Key остаётся под вопросом. В конце 2025 года операторы пытались продать всю свою инфраструктуру и исходный код через форумы даркнета и свой аккаунт в X, однако судьба этого предложения неизвестна. Одновременно группа, традиционно считавшаяся иранской, активно вербует партнёров на русскоязычных киберпреступных форумах, что указывает на возможное расширение круга соучастников или смену руководства. Подобная неопределённость, сочетающаяся с явной политической подоплёкой атак, делает Pay2Key особенно непредсказуемой и опасной угрозой. Её мотивация явно выходит за рамки финансовой выгоды, смещаясь в сторону нанесения стратегического ущерба целевым секторам в периоды международных кризисов. Для специалистов по безопасности это означает необходимость повышенного внимания к индикаторам компрометации, связанным с данной группой, и активного обмена информацией внутри сообщества, особенно в моменты обострения геополитической обстановки на Ближнем Востоке.
Индикаторы компрометации
SHA1
- 243797257450ffce3137de7b542547083c4e040c
- 86233a285363c2a6863bf642deab7e20f062b8eb
- 9b5fbf95622bb90cb35e06479f9405290a4d2361
- d154bd39ca3069491b6e31e54cf95e4dd2db27ab
- d2500ea6564c1b297d8d3f724a7f925fc2d58194
SHA256
- 099cc81f8608def0d8e8843a46a76441598171dfe0a2066e09e85c32b4199256
- 1c70d4280835f18654422cec1b209eec856f90344b8f02afca82716555346a55
- 27a46c36224bb23d5efd9de51a0545fa634d0661ae7dbfa17ae4fecaa53d2585
- 2fefb69e4b2310be5e09d329e8cf1bebd1f9e18884c8c2a38af8d7ea46bd5e01
- 30f166d91cec5a2858d93c77fe1599c8fce9938706d8ce99030faaeaf3a18b06
- 3ac68f46c3dcb95d942c4022dc136208fae8daa594c82743d29ef6a178f9c57a
- 3ba64d08edbfadec8e301673df8b36f9f7475c83587930fc9577ea366ec06839
- 4aaed616518f6680b37464e6cde4edc98fb1b2033540eb938b9288162a52a322
- 4ba297022edd35683783d291ac7c32e087db5a6fc72e7256c2f158cd009191da
- 68a95a0a5d0868eb3868426287feb38450a690aca60169828d7bc00166e4f014
- 89ad2164717bd5f5f93fbb4cebf0efeb473097408fddfc7fc7b924d790514dc5
- a8bfa1389c49836264cfa31fc4410b88897a78d9c2152729d28eca8c12171b9e
- bd4635d582413f84ac83adbb4b449b18bac4fc87ca000d0c7be84ad0f9caf68e
- e09912faa93808ca7de4cb858102d7647a0a6feb43dbcef7f9dd0b1948902f54
- e245db1b683a111fd2315eb29e68f77e3efa8c335862ce44e225a7fceaf4ce5a
- fb653fd840b0399cea31986b49b5ceadd28fb739dd2403a8bb05051eea5e5bbc
