Поделиться
F6 вскрыла Pay2Key: новая программа-вымогатель атакует российские компании
Компания F6, разработчик технологий для борьбы с киберпреступностью, сообщает о новой угрозе для российских организаций — программе-вымогателе Pay2Key. Весной 2025 г. было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства. Об этом CNews сообщили представители F6.
По данным аналитиков департамента киберразведки (Threat Intelligence) F6, вымогательский сервис Pay2Key распространяется на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service, вымогатель как услуга) с конца февраля 2025 г. Несмотря на запрет многих теневых площадок атаковать российских пользователей, злоумышленники применяли шифровальщик для атак целей в России. Так, система F6 MXDR обнаружила и заблокировала рассылки, относящиеся как минимум к трем фишинговым кампаниям, которые были нацелены на российских пользователей. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.
Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».
Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic – семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.
На одном из теневых форумов партнёрам сервиса обещали среднемесячный заработок от 1,5 млн руб. Уже известны случаи, когда за восстановление доступа участники киберпреступного проекта требовали выкуп — в среднем около 170 тыс. руб.
«Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. На теневых русскоязычных форумах появляется все больше объявлений о создании RaaS-сервисов, и новые группировки все чаще отходят от негласного правила не атаковать организации в СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой проект, чтобы привлечь еще больше потенциальных партнеров. Мы считаем, что в ближайшее время мы увидим еще больше уникальных RaaS-проектов, атакующих в том числе российские компании», — сказал Артур Булгаков, аналитик отдела исследования кибератак Threat Intelligence компании F6.
Чтобы защититься от потенциальных кибератак вымогателей, специалисты компании F6 рекомендуют принять следующие меры: регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии; используйте данные киберразведки, например, F6 Threat Intelligence, для проактивного поиска и обнаружения угроз; избегайте загрузки программного обеспечения из непроверенных источников; используйте передовые решения для защиты электронной почты, такие как F6 Business Email Protection, для противодействия атакам через фишинговые рассылки; внедряйте современные средства для обнаружения и реагирования на киберугрозы. Например, решение F6 Managed XDR использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.
Короткая ссылка
