שוב: האקרים המקושרים לאיראן תקפו מוסד רפואי בארה"ב

טייק 2: ימים לאחר הפריצה אל ענקית הרפואה סטרייקר (Stryker) – האקרים פרו-איראניים תקפו, שוב, ארגון שירותי בריאות בארה"ב. לפי מחקר שפורסם השבוע (ג').

לפי מחקר שפורסם השבוע (ג'), ההאקרים הקשורים לממשלת איראן תקפו בסייבר מוסד רפואי אמריקני בכופרה בסוף פברואר, בסמוך לתחילת המלחמה מול ארה"ב וישראל. 

חוקרי ביזלי סקיוריטי (Beazley Security) חשפו את התוקפים: Pay2Key – כנופיית כופר שפועלת מאז 2020, אשר נראה כי השתמשה בחשבון מנהל שנפרץ, כדי להשיג גישה לארגון המותקף.

לאחר שנכנסו, ההאקרים המתינו כמה ימים, לפני שהפעילו את הנוזקה. ההטמעה שלה ארכה רק שלוש שעות, שהספיקו לתוקפים על מנת לפרוס ולהחביא את הקבצים בסביבה. חוקרי ביזלי סקיוריטי הגיבו למתקפה בסוף פברואר וקראו לחוקרים מ-הלסיון (Halcyon) לסייע בחקר הנוזקה.

החקירה העלתה כי "באופן יוצא דופן, לא מצאנו עדויות לכך שנקצרו במהלך המתקפה נתונים". במקביל, קבוצת ההאקרים לא דרשה תשלום של דמי כופר.

"פעילותה של כנופיית הכופרה Pay2Key גדלה במידה מסוימת בעקבות המלחמה האחרונה", ציינו החוקרים. "המתקפה ממשיכה את דפוס הפגיעה בארגונים מערביים, במיוחד בארה"ב ובישראל".

"לפי הממצאים", נכתב בדו"ח, "גרסת הכופרה שחקרנו בחדירה זו היא שדרוג משמעותי לעומת קמפיינים שנערכו ביולי 2025. היו בה שיפורים בתחומי ההתחמקות, הביצוע ומניעת הגילוי הפורנזי".

It appears Pay2Key is back in the wilds again and targeting healthcare providers on behalf of the Iranian government. Halcyon has constructed a comprehensive article detailing their exploits and explaining how this ransomware as a service has become so prevalent. #CyberAwareness…

— ByteSec1401 Efshagari (@Leila97726926) March 25, 2026

"אינטרסים של איראן ולא פשעי סייבר מסורתיים"

בהיבט הזיהוי הלאומי נכתב כי "פעילות שנצפתה בפורומים פליליים על ידי חברי Pay2Key מצביעה על שייכות לגורמי איום דוברי רוסית. ממצא זה תואם את הדפוס ארוך השנים של הקבוצה, של הסתרת לאום ומוצא".

החוקרים הזכירו כי שלושה גופים פדרליים, הסוכנות להגנת סייבר ותשתיות, CISA, ה-FBI ומרכז פשעי הסייבר של משרד המלחמה האמריקני, קבעו ב-2024 כי Pay2Key פועלת לריגול בסייבר לטובת השגת מודיעין.

"העקבות הפיננסיים מקמפיינים קודמים מצביעים על אינטרסים של איראן ולא על פושעי סייבר מסורתיים. נראה כי המתיחות האחרונה בין ארה"ב לאיראן האיצה את פעילות הקבוצה", נכתב. "מאז שהיא זוהתה בראשונה, ב-2020, על ידי חוקרי צ'ק פוינט (Check Point), הפכה Pay2Key לקבוצת כופר וסחיטה מבוססת, המכוונת בעיקר לקורבנות המזוהים עם אינטרסים של איראן".

באוגוסט 2024, פרסמו גופי הממשל הודעה הקובעת באופן מפורש כי Pay2Key היא "גורם איום שבסיסו באיראן, שמטרתו לפגוע בתשתיות הסייבר של ארה"ב וישראל – ולא להתמקד אך ורק בגביית דמי כופר".

הקבוצה זכתה לשמות נוספים ובהם: חתלתול שועלי, חתלתול חלוצי, UNC757, Parasite, RUBIDIUM ו-Lemon Sandstorm.

"Pay2Key ממשיכה להתפתח כאיום בולט על ארגונים מערביים"

במהלך שנת 2025, חברי Pay2Key הרחיבו את היקף פעילותם, ועסקו בגיוס אגרסיבי בפורומים של פשעי סייבר ובניסיונות למכור חלקים מהתשתית שלהם. "למרות התפתחויות אלו, Pay2Key עדיין מנהלת גלי תקיפה גדולים בקשר לסכסוכים איראניים… Pay2Key חידשה באחרונה את פעילותה בתחום הכופרה כשירות (RaaS), והגדילה את חלקם של השותפים שלה בתוכנית חלוקת הרווחים".

"Pay2Key ממשיכה להתפתח כאיום בולט על ארגונים מערביים, במיוחד בארה"ב ובישראל, כאשר הגרסה האחרונה שלה מייצגת התקדמות טכנית ניכרת בהשוואה לקמפיינים קודמים, ביכולות התחמקות, ביצוע ואנטי-פורנזיקה", סיכמו. "הפריצה הנוכחית לארגון בריאות אמריקני חושפת כמה חריגות מפעילותה הקודמת של הקבוצה וממגמות הכופר הרווחות, כגון העובדה שהם לא קצרו נתונים… הניסיון למכור את כל פעילותה של הקבוצה בסוף 2025, בשילוב קשרים עם גורמי איום דוברי רוסית, מעלים שאלות לא פתורות לגבי הבעלות הנוכחית, השליטה התפעולית והמסלול העתידי של פלטפורמת ה-RaaS של הקבוצה".

"הקבוצה ראויה לתשומת לב מתמשכת, לא רק בשל התפתחותה הטכנית הנמשכת, אלא גם בשל העקביות שבה מתעצמים קמפייני התקיפה שלה בתקופות של מתח גיאו-פוליטי הקשור לאיראן. בחירת הקורבנות וקצב הפעולה שלהם היו תמיד בהתאמה לאירועים בעולם האמיתי. נראה כי הקבוצה לא תמיד נותנת עדיפות לסחיטה ולרווח כספי על פני הרס הסביבות של הקורבנות למטרות השפעה אסטרטגית. זהו איתות ברור לכך ש-Pay2Key נותרה איום פעיל, בלתי צפוי ובעל מוטיבציה פוליטית".

לפני ימים אחדים, כפי שדיווחנו, ה-FBI הפיל אתרים של קבוצת חנדלה (Handala) הפרו-איראנית. האתרים שימשו את קבוצת הפריצה לפרסום מתקפות סייבר משבשות – בהן הפריצה האחרונה אל ענקית הרפואה סטרייקר – ולביצוע מבצעים פסיכולוגיים כנגד יריבי המשטר האיראני, כולל ישראלים.