אזהרה לארגונים בישראל: קבוצת כופרה איראנית חזרה לזירה עם מסר ברור
הקבוצה שקושרה בעבר לשלטון בטהרן חזרה לאחר חמש שנים מחוץ לרדאר, עם מבצע תגמולים למי שיתקוף את "אויבי איראן" - ובראשם ישראל
תמונה: Dreamstime
מלחמת ישראל-איראן שפרצה ב-13 ביוני, כחלק ממלחמת "חרבות ברזל" הנמשכת מאז מתקפת הטרור ב-7 באוקטובר 2023, הובילה ללא מעט שינויים גיאו-פוליטיים במזרח התיכון, וגם לסייד-אפקט מפתי: החזרה מהמתים של קבוצת כופרה שנעלמה לפני מספר שנים. הקבוצה, Pay2Key, קבוצת כופרה איראנית חזרה לפעילות אחרי חמש שנות שקט יחסי, וכעת פועלת במתכונת חדשה של כופרה כשירות (Ransomware-as-a-Service).
הקבוצה פעלה בעבר תחת השם Pioneer Kitten ומקושרת למשטר בטהרן, והיום, כמו אז, מקושרת בעיקר לפעילות התקפית נגד מטרות בישראל ובארצות הברית, ואף מציעה תגמולים כספיים לפושעי סייבר שיסייעו לה. לפי חוקרי האבטחה של Morphisec, הגרסה החדשה של נוזקת Pay2Key כוללת מאפיינים המזכירים את Mimic, נוזקת כופרה מוכרת, מה שמעיד על שיתוף פעולה או מיזוג בין הקבוצות.
בפוסט שפורסם ב־23 ביוני, ושתועד על ידי Morphisec, הציעה הקבוצה עד 80% מהרווחים לכל מי ש"ישתתף בתקיפה נגד אויבי איראן, בראשם ישראל וארצות הברית", ואף קראה לגולשים ליצור עמה קשר. כדי לאתר מידע נוסף התחזו החוקרים לתומכים, רכשו את אמונה של הקבוצה, והצליחו לגלות פרטים פנימיים על אופן הפעולה והקוד מאחורי הקמפיין.
כחלק מהניסיון למשוך שותפים, התחייבה Pay2Key.I2P לשמירה על אנונימיות מלאה: "למרות הפסקת האש המדומה שפרסמה ארה"ב הפחדנית, אנחנו ממשיכים להילחם. אנחנו מכבדים את האנונימיות שלנו ושל לקוחותינו, ומציעים תנאים משופרים לתקיפת אויבי איראן".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מי עומד מאחורי Pay2Key.I2P?
הגרסה הראשונה של הכופרה הופיעה במהלך 2020, כשהקבוצה התמקדה כאמור במטרות ישראליות. בין היתר, טענה כי תקפה את Habana Labs, סטארטאפ שבבים שנרכש על ידי אינטל, ואף איימה להדליף 53GB של מידע שנגנב לכאורה.
עוד באותה שנה קישרו חוקרי Check Point ו־ClearSky את Pay2Key לקבוצת הסייבר האיראנית Pioneer Kitten, הידועה גם כ־Fox Kitten. לאחר סדרת התקיפות נעלמה הקבוצה מהרדאר, אך חזרה בתחילת 2025 עם שם חדש, תשתית חדשה (ברשת האנונימית I2P) ותוכנית עסקית מבוססת RaaS, כלומר, מודל שבו פושעי סייבר אחרים יכולים לשכור את הכלי ולבצע תקיפות עצמאיות.
מאז חידוש הפעילות, הקבוצה פועלת בפורומים ברוסית ובסינית, ואף השתמשה ברשת X (לשעבר טוויטר) כדי לקדם את שירותיה. לפי פרסומיה, הצליחה לגרוף מעל 4 מיליון דולרים בזכות 50 תקיפות מוצלחות בארבעת החודשים האחרונים בלבד. במסגרת השדרוגים נוספה תמיכה בגרסת Linux של הכופרה והועלו תגמולים בעבור תקיפות נגד ארה"ב וישראל.
חוקרי Morphisec סיכמו ואמרו כי השילוב בין קוד Mimic, קשר ישיר לקבוצת Pioneer Kitten, ותמריצים ייעודיים לתקיפת מטרות מערביות, מציב את Pay2Key.I2P כאיום מטריד במיוחד: "Pay2Key.I2P מייצגת מיזוג מסוכן בין לוחמת סייבר ממומנת מדינה לבין פשע סייבר גלובלי".
