Новая программа-вымогатель атакует российские компании
Компания F6 сообщила о новой угрозе для российских организаций — программе-вымогателе Pay2Key. Весной 2025 года было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства.
По данным аналитиков департамента киберразведки (Threat Intelligence) F6, вымогательский сервис Pay2Key распространяется на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года. Несмотря на запрет многих теневых площадок атаковать российских пользователей, злоумышленники применяли шифровальщик для атак целей в России. Так, система F6 MXDR обнаружила и заблокировала рассылки, относящиеся как минимум к трем фишинговым кампаниям, которые были нацелены на российских пользователей. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.
Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».
Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic –семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.
На одном из теневых форумов партнёрам сервиса обещали среднемесячный заработок от 1 500 000 рублей. Уже известны случаи, когда за восстановление доступа участники киберпреступного проекта требовали выкуп — в среднем около 170 000 рублей.
«Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. На теневых русскоязычных форумах появляется все больше объявлений о создании RaaS-сервисов, и новые группировки все чаще отходят от негласного правила не атаковать организации в СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой проект, чтобы привлечь еще больше потенциальных партнеров. Мы считаем, что в ближайшее время мы увидим еще больше уникальных RaaS-проектов, атакующих в том числе российские компании», — сказал Артур Булгаков, аналитик отдела исследования кибератак Threat Intelligence компании F6.
About The Author
