F6 вскрыла Pay2Key: новая программа-вымогатель атакует российские компании

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, сообщает о новой угрозе для российских организаций — программе-вымогателе Pay2Key. Весной 2025 года было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства.

По данным аналитиков департамента киберразведки (Threat Intelligence) F6, вымогательский сервис Pay2Key распространяется на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года. Несмотря на запрет многих теневых площадок атаковать российских пользователей, злоумышленники применяли шифровальщик для атак целей в России. Так, система F6 MXDR обнаружила и заблокировала рассылки, относящиеся как минимум к трем фишинговым кампаниям, которые были нацелены на российских пользователей. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.

Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».

Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic – семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.

На одном из теневых форумов партнёрам сервиса обещали среднемесячный заработок от 1 500 000 рублей. Уже известны случаи, когда за восстановление доступа участники киберпреступного проекта требовали выкуп — в среднем около 170 000 рублей.

«Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. На теневых русскоязычных форумах появляется все больше объявлений о создании RaaS-сервисов, и новые группировки все чаще отходят от негласного правила не атаковать организации в СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой проект, чтобы привлечь еще больше потенциальных партнеров. Мы считаем, что в ближайшее время мы увидим еще больше уникальных RaaS-проектов, атакующих в том числе российские компании».

Артур Булгаков

Аналитик отдела исследования кибератак Threat Intelligence компании F6

Технические подробности и индикаторы компрометации – в новом блоге на сайте F6.

Чтобы защититься от потенциальных кибератак вымогателей, специалисты компании F6 рекомендуют принять следующие меры:

• Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии.
• Используйте данные киберразведки, например, F6 Threat Intelligence, для проактивного поиска и обнаружения угроз.
• Избегайте загрузки программного обеспечения из непроверенных источников.
• Используйте передовые решения для защиты электронной почты, такие как F6 Business Email Protection, для противодействия атакам через фишинговые рассылки.
• Внедряйте современные средства для обнаружения и реагирования на киберугрозы. Например, решение F6 Managed XDR использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.