pay2key-campaign-2020

# Pay2Key Campaign 2020 > [!high] > Campanha de ransomware conduzida pelo grupo iraniano **Fox Kitten** entre novembro e dezembro de 2020, com foco primário em empresas israelenses e alvos secundários no Brasil. Explorou vulnerabilidades críticas em VPNs corporativas (Pulse Secure, Fortinet, F5 BIG-IP) para acesso inicial, com propagação via PsExec para criptografar redes inteiras em minutos. ## Visão Geral A campanha Pay2Key foi operada pelo grupo [[g0117-fox-kitten]] (também conhecido como PIONEER KITTEN ou UNC757), associado ao Ministério de Inteligência iraniano (MOIS). A operação decorreu entre novembro e dezembro de 2020 e representou uma escalada significativa nas atividades cibernéticas ofensivas do Irã, combinando motivações financeiras com objetivos geopolíticos de pressão sobre Israel. O grupo explorou vulnerabilidades críticas de execução remota de código em soluções VPN corporativas amplamente utilizadas: [[CVE-2019-11510]] no Pulse Secure SSL VPN, [[CVE-2018-13379]] no Fortinet FortiOS SSL VPN, e [[CVE-2020-5902]] no F5 BIG-IP. Após o acesso inicial, utilizaram PsExec para movimentação lateral e implantação do ransomware Pay2Key nas redes comprometidas. O ransomware Pay2Key foi desenvolvido específicamente para esta campanha - uma ferramenta customizada que criptografa arquivos usando combinação de RSA e AES, com um modelo de infraestrutura proxy que roteava comúnicações de rede internas através de um único servidor comprometido para o C2 externo. Esse design reduzia a exposição de rede e dificultava a detecção. A relevância para o Brasil é documentada: pesquisadores da Check Point identificaram vítimas brasileiras nos registros de pagamento e comúnicações com o servidor de C2 do grupo. Embora Israel tenha sido o alvo principal - num contexto de escalada da guerra cibernética Israel-Irã -, a campanha demonstrou a disposição do [[g0117-fox-kitten]] de atacar alvos em múltiplos países como fonte de receita e pressão geopolítica. ## Attack Flow ```mermaid graph TB A["🔓 Exploração de VPN CVE-2019-11510 Pulse Secure CVE-2018-13379 Fortinet CVE-2020-5902 F5 BIG-IP"] --> B["🔐 Acesso à Rede Corporativa Credenciais extraídas Sessão VPN estabelecida"] B --> C["🔄 Movimentação Lateral PsExec para propagação Mapeamento de rede interna"] C --> D["🌐 Proxy C2 Interno Um servidor comprometido roteia todo tráfego C2"] D --> E["💥 Deploy do Pay2Key Ransomware customizado RSA + AES encryption"] E --> F["🔒 Criptografia em Massa Rede inteira comprometida Nota de resgate em Bitcoin"] ``` **Legenda:** [[T1190-exploit-public-facing-application|T1190]] · [[T1021-002-smb-windows-admin-shares|T1021.002]] · [[T1486-data-encrypted-for-impact|T1486]] ## Cronologia ```mermaid timeline title Pay2Key Campaign - Linha do Tempo Nov 2020 : Primeiros ataques a empresas israelenses : Exploração de CVEs em VPNs corporativas Nov-Dez 2020 : Dezenas de empresas israelenses comprometidas : Vítimas brasileiras identificadas Dez 2020 : Check Point publica análise da campanha : Atribuição ao Fox Kitten (Irã) Jan 2021 : ClearSky publica relatório detalhado : Conexão com PIONEER KITTEN confirmada 2021 : Fox Kitten muda de tática : Passa a vender acesso a afiliados de ransomware ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Exploit de Aplicação Pública | [[T1190-exploit-public-facing-application\|T1190]] | CVEs em Pulse Secure, Fortinet, F5 | | Acesso Inicial | Contas Válidas | [[T1078-valid-accounts\|T1078]] | Credenciais extraídas via VPN | | Movimentação Lateral | SMB/Admin Shares | [[T1021-002-smb-windows-admin-shares\|T1021.002]] | PsExec para propagação | | Transferência Lateral | Lateral Tool Transfer | [[T1570-lateral-tool-transfer\|T1570]] | Pay2Key distribuído via PsExec | | C2 | Protocolos Web | [[T1071-001-web-protocols\|T1071.001]] | Proxy interno mascara C2 | | Impacto | Dados Criptografados | [[T1486-data-encrypted-for-impact\|T1486]] | RSA + AES, extensão .pay2key | ## CVEs Explorados | CVE | Produto | CVSS | Impacto | |-----|---------|------|---------| | [[CVE-2019-11510\|CVE-2019-11510]] | Pulse Secure SSL VPN | 10.0 | Leitura arbitrária de arquivos, extração de credenciais | | [[CVE-2018-13379\|CVE-2018-13379]] | Fortinet FortiOS SSL VPN | 9.8 | Path traversal, extração de senhas em texto claro | | [[CVE-2020-5902\|CVE-2020-5902]] | F5 BIG-IP TMUI | 9.8 | Execução remota de código sem autenticação | ## Contexto Geopolítico A campanha Pay2Key inseriu-se numa escalada da guerra cibernética entre Irã e Israel em 2020. O [[g0117-fox-kitten]] havia anteriormente realizado operações de espionagem, mas a Pay2Key representou uma mudança para operações perturbadoras com componente financeiro. Israel respondeu com operações cibernéticas contra infraestrutura portuária iraniana no mesmo período. A presença de vítimas brasileiras sugere que o grupo não se limitou ao objetivo geopolítico Israel-Irã, aproveitando as mesmas vulnerabilidades VPN para comprometer redes em outros países como fonte de receita adicional ou para criar ruído de atribuição. ## Relevância LATAM A exploração de vulnerabilidades em VPNs corporativas (Pulse Secure, Fortinet, F5) afeta diretamente empresas brasileiras e latino-americanas que utilizam essas soluções - extremamente comuns no mercado corporativo da região. Embora o alvo principal tenha sido Israel, o Brasil foi documentado como vítima secundária. Empresas do [[technology|setor de tecnologia]] e [[manufacturing|manufatura]] com VPNs Pulse Secure ou Fortinet desatualizadas em 2020 eram alvos elegíveis da mesma infraestrutura de ataque. ## Detecção e Defesa - Aplicar patches para [[CVE-2019-11510]], [[CVE-2018-13379]] e [[CVE-2020-5902]] imediatamente se ainda não aplicados - Monitorar autenticações VPN de IPs fora do padrão geográfico esperado - Detectar execução de PsExec em múltiplos endpoints em sequência rápida - Monitorar criação de processos filhos de serviços VPN (`svpnd.exe`, `sslvpnd`) - Implementar segmentação de rede para limitar movimentação lateral pós-comprometimento - Auditar logs de VPN para acesso a arquivos de configuração sensíveis - Consultar [[M1051-update-software|M1051]] e [[M1030-network-segmentation|M1030]] para controles prioritários ## Referências - [1](https://research.checkpoint.com/2020/pay2key-ransomware-a-new-campaign-by-fox-kitten/) Check Point Research - Pay2Key Ransomware: A New Campaign by Fox Kitten (2020) - [2](https://www.clearskysec.com/fox-kitten/) ClearSky - Fox Kitten Campaign Report (2020) - [3](https://attack.mitre.org/groups/G0117/) MITRE ATT&CK - Fox Kitten (G0117) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-259a) CISA - Iranian Advanced Persistent Threat Actors Threatening US Think Tanks (2020) - [5](https://www.mandiant.com/resources/blog/unc757-fox-kitten) Mandiant - UNC757 Fox Kitten Analysis (2021)