האקרים איראניים מבטיחים: "כסף גדול" למתקפות על ארה"ב וישראל

קבוצת האקרים הפועלת בעולם הכופרות, בעלת קשרים לממשל האיראני, הופיעה מחדש, לאחר הפסקה בת כמעט חמש שנים: היא מציעה לפושעי סייבר כסף, כדי לתקוף ארגונים בארה"ב ובישראל.

הנוזקה שחברי הקבוצה הפעילו היא גרסה מעודכנת של Pay2Key מ-2020. זו קושרה בעבר לחתלתול חלוץ (Pioneer Kitten) מטהרן. עוד היא עושה שימוש בכמה מהיכולות של הכופרה Mimic, כך על פי צוות מחקר האיומים במורפיסק (Morphisec) הישראלית.

🚨 New Threat Alert! Morphisec Threat Labs has uncovered the resurgence of Pay2Key – an Iranian-backed ransomware‑as‑a‑service (RaaS) campaign that’s rebranding the Fox Kitten APT with Mimic ransomware techniques.

💸 Over $4M in ransom paid in just four months, and now Linux…

— Morphisec (@morphisec) July 8, 2025

"כיתבו 'תמיכה' ונספק לכם תנאים טובים יותר לתקוף את אויבי איראן"

לפי חברת האבטחה, צוות הכופרה משתמש כעת בשם Pay2Key.I2P. הוא נצפה מבטיח "אחוז חיובי (80% במקום 70%) לכל מי שיהיה מעורב במתקפה נגד אויבי איראן (הכוונה, ככל הנראה, לסכומי כסף מוגדלים בהשוואה למה שניתן בעבר – י"ה). מדובר בעיקר בישראל ובארה"ב. כיתבו 'תמיכה' ונספק לכם תנאים טובים יותר לתקוף את אויבי איראן, בלא לדרוש אישור בתמורה".

חוקרי האיומים השיבו והביעו תמיכה מדומה, רכשו את אמון הפושעים ואספו מידע על הפעולות והנוזקות של Pay2Key.I2P.

לאחר ניתוח הכופרה המעודכנת וחשיפת קווי דמיון משמעותיים בינה לבין ELENOR-Corp. – גרסת הכופרה של Mimic – הסיקו חוקרי מורפיסק כי "נראה ש-Pay2Key.I2P משתף פעולה, או משלב את היכולות של Mimic".

בהדהוד לדברי כמה מומחים שאמרו כי "בעולם הסייבר, אין דבר כזה הפסקת אש", Pay2Key הבטיחה לשותפיה אנונימיות, כדי שיוכלו להמשיך להדביק ארגונים בכופרות, בלא להפר את הפסקת האש: "למרות הפסקת האש הזמנית המזויפת שהוציאה ארה"ב המבוהלת, אנו ממשיכים להילחם… כחלק מפרויקט Pay2Key, אנו מכבדים את האנונימיות שלכם ואת הפרטיות של לקוחותינו. אנו מוכנים לספק לכם תנאים טובים יותר לתקוף את אויבי איראן בלא לדרוש אישור בתמורה. האנונימיות תאפשר לנו לפעול במחתרת מבלי להפר את תנאי הפסקת האש כביכול".

📌 Iranian ransomware group Pay2Key.I2P intensifies attacks on US and Israeli targets, offering affiliates higher profit shares. #CyberSecurity #Ransomware https://t.co/OiLxA0tSh1 pic.twitter.com/55Z79lbOLW

— CyberHub (@CyberHub_blog) July 9, 2025

פגיעה בהבאנה לאבס הישראלית בעבר  

החוקרים זיהו בראשונה את כופרת Pay2Key בסוף 2020, כאשר ההאקרים התמקדו בעיקר בחברות ישראליות. הם טענו כי הצליחו לפגוע, בין שאר הקורבנות, בהבאנה לאבס (Habana Labs), סטארט-אפ שבבים ישראלי שאינטל רכשה ב-2019. בדצמבר 2020 הפושעים טענו בטוויטר שגנבו, ואיימו להדליף – 53 ג'יגה בייט של נתונים מיצרנית השבבים. אז, צ'ק פוינט וקליר סקיי הישראליות קישרו את Pay2Key לקבוצת חתלתול חלוץ האיראנית, הידועה גם בשם חתלתול שועלי (Fox Kitten).

מאז המתקפות של סוף 2020, הקבוצה שמרה על שתיקה עד שהופיעה מחדש בתחילת 2025 כמבצע מתקפות בסגנון "כופרה כשירות", המופעלות באמצעות Pay2Key.I2P. מומחים הסבירו כי החלק "I2P" בשם מתייחס ל-I2P – רשת אנונימית הדומה לרשת האפלה Tor – ו-Pay2Key יוצאת דופן בכך שהיא מארחת את אתר הכופרות שלה ב-I2P – במקום אתרי הדליפות הנפוצים יותר, המתארחים ב-Tor.

"הקבוצה מייצגת התכנסות מסוכנת של לוחמת סייבר בחסות איראן"

הקבוצה החלה לפעול באחרונה ב-X כדי לאתר ו"לגייס" האקרים. הפעילות שלה הואצה בעקבות העימות בין איראן וישראל. הפושעים התרברבו כי עד סוף יוני הם הרוויחו יותר מ-4 מיליון דולר, לאחר שהבטיחו 50 תשלומי כופר במהלך ארבעת חודשי פעילותה של הקבוצה. הם הציעו תשלום גבוה יותר עבור ביצוע של התקפות נגד ארה"ב וישראל.

"בהתחשב בקשריה של Pay2Key.I2P הן לחתלתול חלוץ והן ל-Mimic – בתוספת תמריץ רווח של 80% להתקפות נגד ארה"ב וישראל", סיכמו חוקרי מורפיסק, "הרי שהקבוצה מייצגת התכנסות מסוכנת של לוחמת סייבר בחסות איראן".