以色列砲轟「駭客團體重出江湖」 Pay2Key對美以發動網攻「獲利1.17億」

[周刊王CTWANT] 與伊朗有關的勒索軟體（RaaS）Pay2Key，近期重新現身，並開始針對以色列與美國發動網路攻擊，背後提供的獲利誘因比過往更高，成為近期資安界關注焦點。該行動以Pay2Key.I2P之名重新啟動，與知名駭客組織Fox Kitten（又稱Lemon Sandstorm）有密切聯繫，並被認為與Mimic勒索軟體存在合作關係。

根據《Cybernews》報導，Morphisec資安研究員庫爾明（Ilia Kulmin）表示，Pay2Key.I2P結合了Mimic的勒索技術，且公開向支持伊朗或參與針對伊朗敵對國家攻擊的犯罪者提供80%的利潤分成，比先前的70%更為優渥，這反映出背後組織在意識形態上的鮮明立場。

事實上，美國政府早前就曾揭露，該類與伊朗有關的進階持續性威脅（APT）組織，曾與NoEscape、RansomHouse及BlackCat（又稱ALPHV）等團體合作，透過各種方式發動勒索攻擊。伊朗駭客利用Pay2Key的記錄可追溯至2020年10月，當時曾鎖定以色列企業，手法多為利用既有資安漏洞。

目前Pay2Key.I2P再次現身，並宣稱在短短四個月內已成功勒索51筆贖金，獲利超過400萬美元（折合新台幣約1.17億元），個別參與者平均可分得10萬美元以上。儘管表面上以財務利益為目標，該行動實際隱含濃厚的意識形態色彩，其攻擊對象鎖定以色列與美國，顯然不僅為了金錢而來。

此次重新登場的Pay2Key.I2P，更被認為是首個已知直接架設於Invisible Internet Project（I2P）之上的RaaS平台，與過去僅將I2P作為指揮與控制（C2）通訊管道不同。瑞士資安公司PRODAFT曾於3月發文示警該平台異常行為，該內容隨後也被Pay2Key.I2P官方帳號轉發確認。

更引人注意的是，該組織於俄羅斯暗網論壇以名為「Isreactive」的帳號發文，公開宣稱任何人只要支付20,000美元即可部署此勒索軟體，並承諾每筆成功攻擊將給予報酬，徹底改變傳統RaaS的運作模式。庫爾明認為，這套新模式讓開發者從單純販售軟體轉向直接分潤勒索所得，建立更為去中心化的犯罪生態系統。

截至今年6月，Pay2Key已擴充功能至支援Linux系統，Windows版本則透過自解壓（SFX）封裝檔傳遞。為規避偵測，其新版本內建多種技術，可於攻擊時關閉Microsoft Defender防毒，並自動清除惡意程式殘留物，降低遭取證機會。

根據SonicWall Capture Labs觀察，該勒索軟體還利用偽裝成Microsoft Word文件的可攜式執行檔進行初步感染，進一步透過cmd檔啟動加密程序與投放勒索信。Morphisec指出，這場行動展示了伊朗國家級網路戰與全球網路犯罪的融合風險，累積贖金已逾400萬美元，並對西方組織構成實質威脅。

延伸閱讀

• 極品男友「月薪15萬什麼都AA」 她果斷拒婚分手：這輩子最正確決定
• 大姑去日本爽玩！人妻請假3天幫顧孩 回台收到「用過飯店備品」傻爆眼
• 上廁所擦馬桶蓋尿漬、經血 妹子傻眼：真的拜託了