Wprowadzenie do problemu / definicja
Pay2Key to kampania ransomware, którą badacze bezpieczeństwa powiązali z irańskimi aktorami państwowymi lub podmiotami działającymi w ich interesie. Jej znaczenie wykracza poza klasyczny model cyberprzestępczości, ponieważ szyfrowanie danych pełniło tu rolę elementu szerszej operacji obejmującej włamanie do sieci, eksfiltrację informacji, presję na ofiary oraz oddziaływanie psychologiczne.
Sprawa Pay2Key pokazuje, iż ransomware nie zawsze służy wyłącznie osiągnięciu zysku. W niektórych przypadkach staje się narzędziem wspierającym działania destabilizacyjne, wywiadowcze lub odwetowe, szczególnie w środowisku napięć geopolitycznych.
W skrócie
Kampania była wymierzona przede wszystkim w organizacje działające w Izraelu. Analizy firm z obszaru cyber threat intelligence wskazywały na związki operacji z grupą Fox Kitten, znaną także jako Pioneer Kitten lub Parisite.
- Atakujący wykorzystywali znane podatności w systemach dostępnych z internetu.
- Po uzyskaniu dostępu poruszali się lateralnie i utrzymywali obecność w środowisku ofiary.
- Przed szyfrowaniem dochodziło do kradzieży danych.
- Operacja łączyła wymuszenie finansowe z publikacją skradzionych materiałów i przekazem politycznym.
Kontekst / historia
Największa aktywność Pay2Key była obserwowana w drugiej połowie 2020 roku, gdy napięcia geopolityczne na Bliskim Wschodzie pozostawały wysokie. Celem kampanii miały być podmioty z sektorów przemysłowego, logistycznego, ubezpieczeniowego oraz innych obszarów prywatnej gospodarki.
Na tle typowych operacji ransomware Pay2Key wyróżniał się tym, iż nie wyglądał na przedsięwzięcie nastawione wyłącznie na maksymalizację przychodu. Dobór ofiar, sposób komunikacji oraz wykorzystywanie wycieku danych sugerowały motywację szerszą niż zwykły szantaż finansowy. To przykład modelu hybrydowego, w którym techniki cyberprzestępcze służą celom politycznym, operacyjnym lub propagandowym.
Analiza techniczna
Łańcuch ataku opierał się głównie na eksploatacji publicznie znanych luk w urządzeniach brzegowych i usługach zdalnego dostępu. Wśród najczęściej wskazywanych wektorów wejścia wymieniano rozwiązania Pulse Secure, Fortinet FortiOS, Palo Alto Networks VPN, Citrix NetScaler, F5 BIG-IP, a także usługi RDP i środowiska Microsoft Exchange.
Po uzyskaniu pierwszego dostępu operatorzy wdrażali narzędzia umożliwiające trwałość, tunelowanie ruchu i zdalne sterowanie. Raporty techniczne opisywały wykorzystanie publicznie dostępnych utility do tworzenia reverse proxy i tuneli, a także narzędzi wspierających ruch boczny, eskalację uprawnień i eksfiltrację danych. Taki zestaw jest charakterystyczny dla dojrzałych aktorów APT, którzy łączą własne elementy operacyjne z ogólnodostępnymi narzędziami administracyjnymi i ofensywnymi.
Samo ransomware pełniło końcową rolę destrukcyjną i wymuszającą. Istotnym elementem kampanii był model podwójnego wymuszenia, w którym dane były kradzione przed szyfrowaniem. W praktyce oznacza to, iż choćby po skutecznym odtworzeniu systemów z kopii zapasowych organizacja przez cały czas może mierzyć się z ryzykiem ujawnienia informacji, naruszenia poufności i strat reputacyjnych.
W analizach przypisania podkreślano podobieństwa między Pay2Key a wcześniejszą aktywnością Fox Kitten. Dotyczyły one doboru podatności, metod utrzymania dostępu, użytych narzędzi oraz szerszego kontekstu operacyjnego. Choć atrybucja w cyberbezpieczeństwie rzadko bywa absolutna, taki zestaw korelacji stanowi mocny wskaźnik wspólnego zaplecza lub współpracy między aktorami.
Konsekwencje / ryzyko
Najważniejszy wniosek płynący z tej kampanii jest taki, iż ransomware nie może być już traktowane wyłącznie jako incydent finansowy. o ile za operacją stoją podmioty sponsorowane przez państwo lub działające na ich rzecz, należy brać pod uwagę także sabotaż, wpływ psychologiczny, działania propagandowe oraz długotrwałą obecność przeciwnika w sieci.
Dla organizacji oznacza to wielowarstwowe ryzyko:
- zatrzymanie działalności operacyjnej po zaszyfrowaniu systemów,
- utrata danych i ich potencjalne publiczne ujawnienie,
- wykorzystanie skradzionych poświadczeń w kolejnych etapach ataku,
- kompromitacja partnerów i elementów łańcucha dostaw,
- ponowne wejście do infrastruktury dzięki pozostawionym mechanizmom trwałości.
Szczególnie zagrożone są organizacje posiadające rozbudowaną infrastrukturę dostępu zdalnego, urządzenia edge wystawione do internetu oraz niedojrzałe procesy zarządzania poprawkami. Pay2Key dobitnie pokazał, iż choćby znane od dawna podatności pozostają skutecznym wektorem wejścia, o ile nie są gwałtownie usuwane lub odpowiednio monitorowane.
Rekomendacje
Podstawą ochrony przed podobnymi operacjami jest priorytetowe zarządzanie podatnościami w systemach dostępnych z internetu. Dotyczy to szczególnie bram VPN, urządzeń ADC, serwerów pocztowych i wszystkich komponentów umożliwiających administracyjny dostęp zdalny. Luki w infrastrukturze brzegowej powinny być traktowane jako krytyczne.
Drugim filarem obrony pozostaje segmentacja sieci i ograniczenie możliwości ruchu lateralnego. Konta uprzywilejowane powinny być odseparowane, dostęp administracyjny dodatkowo zabezpieczony, a połączenia RDP ograniczone do kontrolowanych stref. Niezbędne są także MFA, zasada najmniejszych uprawnień oraz monitoring nietypowych połączeń tunelowanych i reverse proxy.
W obszarze detekcji i telemetrii warto monitorować:
- logowania do systemów VPN i RDP,
- tworzenie nowych usług oraz zadań harmonogramu,
- uruchamianie narzędzi tunelujących,
- nietypowy ruch wychodzący z serwerów,
- masowe operacje na plikach mogące wskazywać na szyfrowanie,
- próby wyłączenia zabezpieczeń lub modyfikacji polityk ochronnych.
Kluczowe znaczenie mają również kopie zapasowe odseparowane logicznie i organizacyjnie od środowiska produkcyjnego. Backup musi być regularnie testowany pod kątem odtwarzania, a plan reagowania na incydenty powinien obejmować izolację systemów, analizę mechanizmów trwałości, rotację poświadczeń, ocenę skali eksfiltracji oraz przygotowanie komunikacji kryzysowej.
Z perspektywy threat hunting szczególną uwagę należy zwrócić na oznaki wykorzystania historycznie popularnych podatności w urządzeniach perymetrycznych, artefakty webshelli, niestandardowe tunele TCP, narzędzia FRP oraz ślady obecności przeciwnika poprzedzające uruchomienie ransomware. W kampaniach takich jak Pay2Key szyfrowanie bywa jedynie końcowym etapem dłuższego naruszenia.
Podsumowanie
Pay2Key jest jednym z bardziej wyrazistych przykładów wykorzystania ransomware jako elementu szerszej operacji cybernetycznej, łączącej włamanie, eksfiltrację danych, wymuszenie oraz oddziaływanie polityczno-psychologiczne. Przypadek ten pokazuje, iż granica między klasyczną cyberprzestępczością a aktywnością sponsorowaną przez państwo staje się coraz mniej wyraźna.
Dla zespołów bezpieczeństwa oznacza to konieczność traktowania incydentów ransomware jako pełnoskalowych naruszeń bezpieczeństwa, które mogą obejmować nie tylko utratę dostępności systemów, ale także szpiegostwo, sabotaż i działania wpływu. Odpowiedzią musi być połączenie szybkiego zarządzania podatnościami, skutecznej detekcji, segmentacji środowiska i gotowości do reagowania.
Źródła
- https://www.securityweek.com/iranian-hackers-target-israeli-companies-pay2key-ransomware/
- https://www.clearskysec.com/wp-content/uploads/2020/12/Pay2Kitten.pdf
- https://www.inss.org.il/publication/cyber-iran/
- https://www.cisa.gov/sites/default/files/2024-08/aa24-241a-iran-based-cyber-actors-enabling-ransomware-attacks-on-us-organizations_0.pdf