<div id="post_message_806732">

Аналитики компании F6 <a href="https://www.f6.ru/blog/pay2key/" target="_blank">обнаружили </a>новый вымогательский сервис Pay2Key, распространяемый по схеме RaaS (Ransomware as a Service) и построенный на базе шифровальщика Mimic.<br/>
<br/>
Исследователи пишут, что, невзирая на негласные правила, запрещающие «работать по RU», партнеры Pay2Key пытаются атаковать компании в России. Так, весной 2025 года Pay2Key использовался как минимум в трех кампаниях, нацеленных на российские организации в сферах ритейла, финансов, ИТ и строительства.<br/>
<br/>
Первые следы активности и реклама Pay2Key появились в феврале 2025 года, когда пользователь с ником lsreactive опубликовал на хак-форуме объявление о запуске нового RaaS.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/545720/picture-2-1.png"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Реклама Pay2Key

</td>
</tr>
</table>
</div>Эксперты отмечают, что на одном из хак-форумов партнерам RaaS-сервиса обещали среднемесячный заработок от 1,5 млн рублей. Кроме того, уже известны случаи, когда за восстановление доступа участники RaaS-схемы требовали выкуп (в среднем около 170 000 рублей).<br/>
<br/>
Сервис работает в I2P (Invisible Internet Project), а в арсенале атакующих — SFX-архивы, фишинг, легитимные утилиты и продвинутые способы обхода антивирусной защиты. К примеру, для противодействия детектированию средствами защиты и анализу шифровальщик Pay2Key защищен протектором Themida.<br/>
<br/>
Как уже было сказано выше, исследователи связывают Pay2Key с малварью Mimic, которую, в свою очередь, называют «одной из самых сложных современных программ-вымогателей».<br/>
<br/>
Аналогично Mimic на компьютер жертвы Pay2Key попадает в виде самораспаковывающегося 7-Zip-архива (7-Zip SFX). Для поиска шифруемых файлов применяется легитимная программа Everything и ее API.<br/>
<br/>
Шифрование данных осуществляется с использованием алгоритма потокового шифрования ChaCha20, для получения ключа ChaCha20 используется реализация протокола Диффи-Хеллмана на эллиптических кривых (ECDH) X25519.<br/>
<br/>
В отличие от других программ-вымогателей Mimic/Pay2Key не генерирует на хосте сессионные ключи, шифруя затем сессионный закрытый ключ с помощью открытого мастер-ключа, но вместо этого использует в качестве сессионного ключа случайно выбранный из готового набора, содержащегося в коде шифровальщика. Для проведения массовых атак программы-вымогатели Mimic/Pay2Key содержат большое количество сессионных ключей.<br/>
<br/>
В феврале текущего года распространялся Pay2Key версии 1.1, а на настоящий момент актуальной является версия 1.2.<br/>
<br/>
Свои атаки, направленные против российских организаций, партнеры Pay2Key строят на фишинговых кампаниях. Так, мартовская и майская кампании были нацелены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.<br/>
<br/>
Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/545720/picture-6.png"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Фишинговое письмо

</td>
</tr>
</table>
</div><div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. Несмотря на тот факт, что основные злоумышленники, атакующие российские компании так или иначе политически мотивированы, а в своих атаках используют программы-вымогатели, основанные на утекших инструментариях таких шифровальщиков как LockBit и Babuк, появляются и новые, не похожие на всех группировки. Стоит отметить, что на форумах появляется все больше объявлений о создании RaaS-сервисов, более того, новые группировки все чаще отходят от негласного правила не атаковать СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой RaaS-проект, дабы привлечь еще больше потенциальных партнеров», — заключают эксперты.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/08/01/pay2key" target="_blank">@ xakep.ru</a>
</div>