رسانه‌های غربی ایران را عامل حمایت‌ها می‌دانند

افزایش دستمزد هکرها برای حمله به اسرائیل و آمریکا

۲۸ تیر, ۱۴۰۴
۰۶:۱۱

آزاده کیاپور

گروه باج‌افزاری Pay2Key.I2P منتسب به ایران، حملات خود را علیه اهداف اسرائیلی و آمریکایی تشدید کرده و برای جذب همکاران، وعده مشوق‌های بیشتری داده است.

به گزارش Securityaffairs، طبق ادعای کارشناسان، این گروه که جانشین نسخه اصلی Pay2Key به‌شمار می‌رود، به گروه APT وابسته به ایران، موسوم به Fox Kitten مرتبط است. گروه یادشده، اکنون به‌عنوان سرویس باج‌افزاری فعالیت می‌کند.

گروهPay2Key.I2P ، از زمان شروع فعالیت خود در فوریه ۲۰۲۵، با سرعت زیادی رشد کرده است. این رشد با تبلیغات در فروم‌های دارک‌نت روسی و چینی و نیز حضور در شبکه اجتماعی ایکس (توییتر سابق) همراه بوده است.

این گروه تنها در چهار ماه، بیش از ۵۱ مورد باج‌گیری موفق داشته است. اگرچه انگیزه مالی، نقش اصلی دارد، اما وابستگی ایدئولوژیک آنها به ایران نیز آشکار است، زیرا تمرکز حملات‌شان بر اهداف غربی است. در ماه ژوئن، آنها نسخه‌ای برای سیستم‌عامل لینوکس از باج‌افزار خود منتشر کردند که باعث شد دامنه حملات‌شان گسترده‌تر شود.

تهدیدهای سایبری ایران در پساجنگ

در گزارش شرکت امنیت سایبری Morphisec آمده است: «در پی ناآرامی‌های ناشی از درگیری‌های بین ایران، اسرائیل و آمریکا، یک تهدید سایبری پیشرفته دوباره ظاهر شده و سازمان‌های غربی را هدف گرفته است. تیم تحقیقاتی Morphisec متوجه بازگشت گروه باج‌افزاری Pay2Key شده که اکنون با نام Pay2Key.I2P و با حمایت ایران به‌عنوان یک سرویس باج‌افزار فعالیت می‌کند.»

این گزارش می‌افزاید: «این گروه به گروه شناخته‌شده Fox Kitten وابسته است و ارتباط نزدیکی با باج‌افزار Mimic دارد؛ باج‌افزاری که پیش‌تر توسط Morphisec در قالب نسخه ELENOR-Corp بررسی شده بود. به ‌نظر می‌رسد Pay2Key.I2P از قابلیت‌های Mimic استفاده کرده یا با آن همکاری دارد.»

گروهPay2Key.I2P ، برای تشویق همکاران، سهم سود آنها را از ۷۰ به ۸۰ درصد افزایش داده است. این اقدام، به‌منظور حمایت از حملاتی است که با منافع ایران همسو هستند و بیانگر ترکیب سود مالی با اهداف ایدئولوژیک است. این گروه مدعی است که در چهار ماه گذشته، بیش از ۴ میلیون دلار باج دریافت کرده و برخی همکارانش تا ۱۰۰ هزار دلار درآمد داشته‌اند.

قرار است تحقیقات جدید، جزئیاتی از چت‌های داخلی گروه و انگیزه‌های آنها برای بازنویسی باج‌افزار را منتشر کند.

این تحقیقات همچنین از طریق تحلیل‌های فنی و اطلاعات منبع‌باز (OSINT)، ارتباط بین Pay2Key.I2P و خانواده باج‌افزار Mimic را تأیید می‌کند.

تحلیل Morphisec مدعی است بین باج‌افزار «ELENOR-Corp» و فایل اجرایی «enc-build.exe» که توسط گروه Pay2Key.I2P استفاده می‌شود، شباهت‌های زیادی وجود دارد.

کمپین باج‌افزاری Pay2Key.I2P از اسکریپت بارگذار پیچیده با فرمت دوگانه استفاده می‌کند که با نام setup.cmd در یک فایل فشرده SFX با فرمت7-Zip جاسازی شده است. این اسکریپت طوری طراحی شده که در محیط CMD و PowerShell هر دو، اجرا شود؛ موضوعی که لایه‌های مختلفی از ابهام‌سازی و فرار از شناسایی آنتی‌ویروس‌ها را ممکن می‌سازد.

این اسکریپت بدون فعال کردن سیستم ضددستکاری، موفق به غیرفعال‌سازی Microsoft Defender می‌شود. همچنین از پی‌لودهایی (بخش اصلی و مخرب کد یا برنامه) با رمزگذاری XOR استفاده کرده و ابزارهایی مانند7za.exe وNoDefender را بارگذاری می‌کند.

نسخه جدید این کمپین که از مارس ۲۰۲۵ به کار رفته، شامل قابلیت‌هایی برای فرار از محیط‌های شبیه‌سازی، تابع کمکی برای پنهان‌سازی فرمت پی‌لودها، اجرای ماژولار از طریق فایل task.ps1 و نیز رفتارهای فریب‌دهنده اختیاری با استفاده از فایل data5.bin است.

باج‌افزار مذکور، از ابزار محافظتی Themida برای پنهان‌سازی و جلوگیری از مهندسی معکوس استفاده می‌کند که نشان‌دهنده دسترسی گروه به ابزارهای پیشرفته است. همچنین با جعل نام نرم‌افزارهای قانونی مانند Everything.exe، خود را پنهان کرده و در نهایت، پی‌لود را در حالت رمزگذاری اجرا می‌کند و سپس یادداشت باج‌گیری را در سیستم قربانی قرار می‌دهد.

در این گزارش ادعا شده است: «گروهPay2Key.I2P ، بیانگر تلاقی خطرناک بین جنگ سایبری تحت حمایت دولت ایران و جرایم سایبری جهانی است. عملیات RaaS با توجه به ارتباط با گروه‌های Fox Kitten و Mimic، ارائه سهم ۸۰ درصدی به همکاران حامی ایران و بیش از ۴ میلیون دلار باج‌گیری، تهدید جدی برای سازمان‌های غربی محسوب می‌شود.»

این گزارش همچنین می‌افزاید: «ارتباطات شخصی اعضای این گروه نشان می‌دهد انگیزه‌های ایدئولوژیک، نقش مهمی در فعالیت آ‌نها دارد و برای تأثیرگذاری بیشتر، ابزارهای خود را بازنویسی کرده‌اند. در شرایطی که تنش‌های ژئوپلیتیکی به چنین تهدیدهایی دامن می‌زند، دفاع فعال و پیشگیرانه، حیاتی است.»

هشدار آمریکا: افزایش تهدید گروه‌های هکتیویستی

اوایل ماه ژوئیه، نهادهای امنیت سایبری و اطلاعاتی آمریکا، با هشدار نسبت به افزایش تهدیدات سایبری توسط هکرهای وابسته به دولت ایران اعلام کردند که این تهدیدها ممکن است شدت بیشتری پیدا کند. این مهاجمان، معمولاً از نرم‌افزارهای به‌روزنشده، آسیب‌پذیری‌های شناخته‌شده و رمزهای عبور ضعیف یا پیش‌فرض در سامانه‌های متصل به اینترنت، سوء‌استفاده می‌کنند.

در هشدار مشترک آژانس امنیت سایبری و زیرساخت (CISA)، اف‌بی‌آی (FBI)، مرکز جرایم سایبری وزارت دفاع (DC3) و سازمان امنیت ملی آمریکا (NSA) آمده است: «سازمان‌ها باید نسبت به فعالیت‌های سایبری هدفمند علیه زیرساخت‌های حیاتی ایالات متحده و دیگر نهادهای آمریکایی از سوی عوامل سایبری وابسته به ایران، هوشیار باقی بمانند. با وجود اعلام آتش‌بس و مذاکرات جاری برای دستیابی به راه‌حل دائمی، احتمالاً عوامل وابسته به ایران و گروه‌های هکتیویستی، همچنان به فعالیت‌های مخرب سایبری ادامه دهند. این نهادها، همچنان اوضاع را رصد کرده و اطلاعات لازم را درباره تهدیدات و راهکارهای دفاع سایبری در اختیار خواهند گذاشت.»

هرچند تا این لحظه، هیچ حمله هماهنگ و گسترده‌ از سوی ایران در خاک آمریکا شناسایی نشده، اما این نهادها از مسئولان زیرساخت‌های حیاتی خواسته‌اند اقدامات فوری انجام دهند. توصیه‌ها، مواردی مانند قطع اتصال سیستم‌های صنعتی و عملیاتی از اینترنت، استفاده از رمزهای عبور قوی، به‌روزرسانی نرم‌افزارها و فعال‌سازی احراز هویت چندمرحله‌ای مقاوم در برابر حملات فیشینگ را شامل می‌شوند.

در عین حال، گروه‌های هکتیویست همسو با ایران نیز فعالیت خود را در زمینه تخریب صفحات وب و افشای داده‌ها افزایش داده‌اند. پیش‌بینی می‌شود حملات انکار سرویس توزیع‌شده یا دیداس (DDoS) و حملات باج‌افزاری علیه اهداف آمریکایی و اسرائیلی، در آینده نزدیک، شدت بیشتری بگیرند.