コンテンツにスキップするには Enter キーを押してください

Pay2Keyランサムウェア集団、米国・イスラエル攻撃を促す報酬で再浮上

投稿日 2025年7月12日

ロブ・ライト, シニアニュースディレクター, Dark Reading

2025年7月11日

読了時間:3分

Image

出典:Tomas Nevesely(Alamy Stock Photo経由)

Pay2Keyに変化が起きている。Pay2Keyは、悪名高いイラン国家支援の脅威グループと関係のあるランサムウェア・アズ・ア・サービス(RaaS)集団であり、これは米国にとって問題となる可能性がある。

Pay2Keyは2020年に初めて確認された。あまり知られていないRaaS集団の一つだが、イスラエルの組織へのハック&リーク攻撃である程度の悪名を得た。サイバーセキュリティベンダーや米国当局は、同集団をFox Kitten(UNC757とも呼ばれるイラン国家支援の脅威グループ)と結び付けている。

現在、Morphisecの研究者によれば、Pay2Keyは新たな手法で再登場している。イスラエル・イラン・米国間の対立を受け、西側組織を標的とし、集団の地政学的目標に合致する攻撃にはより高い報酬を提供している。Morphisec Labsの研究者による新しいレポートによると、同集団は「イランの敵」への攻撃に対し、アフィリエイトへの利益分配率を70%から80%に引き上げた。

「西側標的への集中と、イランの地政学的立場に結び付いたレトリックにより、このキャンペーンはサイバー戦争の道具となっている」と研究者は記している。「2025年6月にLinux向けランサムウェアビルドが追加されたことで、攻撃対象がさらに拡大し、多様なシステムが脅威にさらされている。」

Pay2Keyランサムウェアのアフィリエイト報酬が増加

Morphisecによれば、このRaaS集団は今年、新バージョン「Pay2Ket.I2P」として再登場し、脅威の状況下で急速に拡大している。この名称はInvisible Internet Project(I2P)に由来し、Torネットワークに類似している。先月のSonicWallのブログ記事では、Pay2Keyがランサムウェアグループとして初めてI2Pを使用し、Torの代わりに身代金支払いポータルや被害者との通信に利用していることが強調された。

さらに重要なのは、同グループが2月にロシアと中国のダークウェブフォーラムやサイバー犯罪マーケットプレイスでマーケティング活動を展開したことだ。Morphisecの研究者は、新バリアントの展開と統一されたブランディングキャンペーンから、Pay2Keyの運営者が事前に計画された多段階のローンチ戦略を持っていたことがうかがえると述べている。

「4か月間で51件以上の身代金支払いに成功しており、同グループの効果は否定できない」と研究者は記し、Pay2Keyがその期間に合計400万ドル以上の身代金を得たと付け加えた。

Pay2Keyの脅威アクターとMorphisec Labs研究チームとのやり取りによれば、同集団は「主にイスラエルと米国」を標的とした攻撃に対し、アフィリエイトに支払われた身代金の80%を提供する意思があるという。脅威アクターは、Pay2Keyがアフィリエイトに十分な匿名性を提供し、彼らと運営者がイランと両国間の停戦を破ることなくサイバー攻撃を実行できると研究者に語った。

80%の利益分配が潜在的なアフィリエイトにとってどれほどのインセンティブになるかは不明だ。近年、他の複数のランサムウェア集団も同等またはそれ以上の分配率を提示している。2022年、Multi-State Information Sharing and Analysis Center(MS-ISAC)は、現在は解散したBlackCatランサムウェア集団がアフィリエイトに支払われた身代金の80%から90%を提供していたと指摘している。

最近では、DragonForceやAnubisといったグループも80%の利益分配を提示していることが確認されている。それでもMorphisecの研究者は、運営再開やLinuxシステム向け新バージョンの導入からも明らかなように、同グループがイランの敵に損害を与えることに強くコミットしていると警告している。

「個人的なやり取りからは、最大限の効果を狙ってツールを書き換えるイデオロギー主導のグループ像が浮かび上がる」と研究者は記している。「地政学的緊張がこうした脅威を煽る中、積極的な防御が不可欠だ。」

Morphisecのレポートには、Pay2Key.I2Pペイロードやコマンド&コントロール(C2)ドメインのシグネチャなど、侵害の痕跡(IoC)が含まれている。研究者は、初期実行ファイルに難読化されたPowerShellスクリプトが含まれており、Windows Defenderですべての「.exe」ファイルを除外する設定を作成することを警告している。これにより「死角」が生まれ、Windows Defenderの改ざん防止機能を回避しつつ、感染チェーンの追加ペイロードを隠すことができる。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/pay2key-ransomware-gang-incentives-attack-us-israel

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です