pay2key-ransomware

# Pay2Key Ransomware > [!high] Ransomware Iraniano contra Israel - Fox Kitten e Operação de Influência > Pay2Key é um ransomware desenvolvido pelo grupo iraniano Fox Kitten (ITG18/Pioneer Kitten), utilizado em campanha de destruição e influência psicológica contra empresas israelenses em novembro de 2020. Atípico para ransomware: o objetivo primário era dano reputacional à cadeia de suprimentos tecnológica de Israel, não extorsão financeira. Ressurgiu em 2025 como Pay2Key.I2P operando na rede I2P. ## Visão Geral Pay2Key é um ransomware desenvolvido pelo grupo iraniano [[g0117-fox-kitten]] (também conhecido como ITG18, Pioneer Kitten e PARISITE), notório por ser o instrumento de uma campanha de ransomware com motivação política-destrutiva, não puramente financeira. O malware emergiu em novembro de 2020 com uma série de ataques acelerados e precisos contra dezenas de empresas israelenses, incluindo companhias de tecnologia e defesa. O ataque do Pay2Key foi diferente da maioria dos ransomwares da época: o tempo de dwell (presença silenciosa antes do ataque) era medido em horas, não semanas. O grupo comprometia sistemas via vulnerabilidades em VPN corporativas ([[cve-2019-11510|CVE-2019-11510]] Pulse Secure, [[cve-2018-13379|CVE-2018-13379]] Fortinet e [[cve-2020-5902|CVE-2020-5902]] F5 BIG-IP) e rapidamente implantava o Pay2Key em toda a rede usando um proxy interno para centralizar comúnicações de saída - técnica incomum que dificultava detecção via análise de tráfego de rede. A infraestrutura de C2 era notavelmente eficiente: um único agente proxy interno (denominado "ConnectPC") na rede comprometida centralizava todo o tráfego C2 dos demais hosts, reduzindo o número de conexões de saída a apenas uma. A criptografia usava RSA para proteger a chave AES utilizada na criptografia dos arquivos, com a chave RSA pública gerada dinâmicamente para cada vítima. Em 2025, pesquisadores documentaram o ressurgimento do Pay2Key operando como Pay2Key.I2P, com infraestrutura na rede I2P (Invisible Internet Project) para maior anonimidade. A versão atualizada tem sido associada a demandas de resgate de até US$4 milhões e um modelo de afiliados com compartilhamento de 80% dos lucros para operadores. ## Como Funciona O Pay2Key destaca-se pela velocidade de implantação e pelo uso de proxy interno para comúnicações C2: **Acesso inicial (exploração de VPN corporativa):** - Exploração de CVE-2019-11510 (Pulse Secure), CVE-2018-13379 (Fortinet) ou CVE-2020-5902 (F5 BIG-IP) - Credenciais extraídas das VPNs comprometidas para acesso adicional - Reconhecimento de rede mínimo antes da implantação do ransomware **Implantação e criptografia:** - Pay2Key distribuído para múltiplos sistemas via compartilhamentos de rede ou PsExec - Um agente "ConnectPC" atua como proxy interno centralizando todo o tráfego C2 - Criptografia RSA+AES: chave AES gerada por máquina, protegida pela chave pública RSA da vítima - Extensão `.pay2key` adicionada a todos os arquivos criptografados ```mermaid graph TB A["🔓 Exploração VPN CVE-2019-11510 CVE-2018-13379"] --> B["🔑 Extração Credenciais Acesso inicial à rede interna"] B --> C["📡 Proxy Interno ConnectPC instalado centraliza C2"] C --> D["📦 Distribuição Pay2Key via shares ou PsExec em rede"] D --> E["🔒 Criptografia RSA + AES extensão .pay2key"] E --> F["💸 Nota de Resgate README_TIME.txt contato por email"] F --> G["📣 Vazamento Público Dados publicados para pressão reputacional"] ``` *Ator: [[g0117-fox-kitten]] - CVEs explorados: [[cve-2019-11510|CVE-2019-11510]] · [[cve-2018-13379|CVE-2018-13379]] · [[cve-2020-5902|CVE-2020-5902]]* ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1190 | Exploit Public-Facing App | Acesso Inicial | VPNs corporativas via CVEs de Pulse/Fortinet/F5 | | T1486 | Data Encrypted for Impact | Impacto | RSA + AES, extensão .pay2key | | T1071 | Application Layer Protocol | C2 | HTTP/HTTPS para comunicação C2 | | T1090 | Proxy | C2 | ConnectPC como proxy interno para C2 | | T1059.003 | Windows Command Shell | Execução | Implantação via cmd e scripts batch | | T1078 | Valid Accounts | Persistência | Credenciais extraídas das VPNs comprometidas | | T1083 | File and Directory Discovery | Reconhecimento | Enumeração para seleção de arquivos | ## Evolução: 2020 para 2025 ```mermaid timeline title Pay2Key - Evolução 2020-11 : Primeira campanha : Dezenas de empresas israelenses : Proxy ConnectPC inovador 2021 : Associação confirmada : Fox Kitten atribuído : Análise Check Point Research 2025 : Ressurgimento Pay2Key.I2P : Infraestrutura na rede I2P : Modelo afiliados 80/20 : Resgates até USD 4M ``` ## Contexto Geopolítico e LATAM > [!latam] Relevância para o Brasil > Os CVEs explorados pelo **Pay2Key** em 2020 (Pulse Secure, Fortinet, F5 BIG-IP) afetam infraestruturas globais — organizações brasileiras que não aplicaram patches em tempo hábil permaneceram vulneráveis por meses. O Pay2Key demonstrou que grupos patrocinados por estados podem usar ransomware para objetivos além da extorsão financeira — um padrão de **ransomware como arma geopolítica** que se tornou tendência. O ressurgimento como **Pay2Key.I2P** em 2025 com modelo de afiliados indica ameaça continuada para qualquer alvo de valor estratégico. O Pay2Key é um exemplo paradigmático de como ransomware pode ser instrumentalizado como ferramenta de guerra cibernética com objetivos políticos. O [[g0117-fox-kitten]] opera como contratado do IRGC iraniano, realizando ataques que combinam espionagem (coleta de dados) com destruição e influência psicológica. Para o contexto brasileiro, a relevância está em dois vetores: 1. **Vulnerabilidades de VPN como vetor universal**: Os CVEs explorados pelo Pay2Key em 2020 afetam infraestruturas globais. Organizações brasileiras que não aplicaram patches em tempo hábil permaneceram vulneráveis por meses 2. **Modelo de ransomware-como-arma geopolítica**: O Pay2Key demonstrou que grupos patrocinados por estados podem usar ransomware para objetivos além da extorsão financeira - um padrão que se tornou cada vez mais comum na geopolítica da [[government|geopolítica]] global ## Detecção e Defesa **Indicadores comportamentais:** - Processo "ConnectPC.exe" ou similar atuando como proxy interno na rede - Criação de arquivos `.pay2key` em múltiplos sistemas simultaneamente (minutos de intervalo) - `README_TIME.txt` criado em diretórios raiz e área de trabalho - Conexões de saída concentradas em um único host interno (padrão proxy) - Acesso incomum a compartilhamentos de rede seguido de escrita de executáveis **Mitigações prioritárias:** - Aplicação imediata de patches em VPNs corporativas (Pulse Secure, Fortinet FortiGate, F5 BIG-IP) - MFA obrigatório para acesso VPN - mesmo com credencial comprometida, dificulta acesso - [[m1030-network-segmentation|Segmentação de rede]] para limitar propagação lateral do ransomware - Monitoramento de tráfego para detectar padrão de proxy interno (um host com alto volume de conexões internas + externas) - Backups offline testados - criptografia completa antes de detecção é o cenário esperado ## Referências - [1](https://research.checkpoint.com/2020/pay2key-the-plot-thickens/) Check Point Research - Pay2Key: The Plot Thickens (2020) - [2](https://www.clearskysec.com/pay2key/) ClearSky - Pay2Key Analysis (2020) - [3](https://attack.mitre.org/groups/G0117/) MITRE ATT&CK - Fox Kitten G0117 - [4](https://www.bleepingcomputer.com/news/security/pay2key-ransomware-attacks-dozens-of-israeli-companies/) BleepingComputer - Pay2Key Ransomware Attacks Israeli Companies (2020) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.pay2key) Malpedia - Pay2Key