s0556-pay2key - RunkIntel

# Pay2Key > Tipo: **malware** · S0556 · [MITRE ATT&CK](https://attack.mitre.org/software/S0556) ## Descrição [[s0556-pay2key|Pay2Key]] é um ransomware escrito em C++ utilizado pelo [[g0117-fox-kitten|Fox Kitten]] (Pioneer Kitten), grupo de ameaça iraniano, desde pelo menos julho de 2020. O Pay2Key foi implantado principalmente em campanhas contra empresas israelenses, sendo acompanhado de um site de vazamentos onde informações sensíveis roubadas eram exibidas para pressionar as vítimas ao pagamento - técnica de dupla extorsão. O malware usa proxy interno para rotear as comúnicações de C2 através de uma máquina comprometida que serve como pivot dentro da rede da vítima, evitando que tráfego suspeito atinjá diretamente a borda da rede. Criptografia assimétrica protege as chaves de criptografia, tornando a recuperação de arquivos sem pagamento teoricamente impossível. Antes de criptografar, o Pay2Key para serviços do sistema para liberar handles de arquivos. O [[g0117-fox-kitten|Fox Kitten]] é notório por explorar vulnerabilidades em VPNs e dispositivos de acesso remoto para acesso inicial, frequentemente revendendo esse acesso a outros grupos iranianos, tornando-o um broker de acesso de importância estratégica. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g0117-fox-kitten|Fox Kitten]] ## Detecção - Monitorar criptografia em massa de arquivos por processos desconhecidos ([[t1486-data-encrypted-for-impact|T1486]]) - Detectar parada em massa de serviços do Windows em curto intervalo ([[t1489-service-stop|T1489]]) - Alertar para tráfego de rede não-padrão de camada de aplicação ([[t1095-non-application-layer-protocol|T1095]]) - Implementar backups imutáveis e isolados como mitigação crítica contra ransomware ## Relevância LATAM/Brasil O [[g0117-fox-kitten|Fox Kitten]] demonstra a tendência crescente de grupos de ameaça iranianos em diversificar alvos globalmente, com motivações tanto financeiras (ransomware) quanto geopolíticas. O modelo de dupla extorsão - criptografia + públicação de dados roubados - usado pelo Pay2Key é hoje o padrão na indústria de ransomware, afetando amplamente organizações brasileiras de todos os setores. A exploração de VPNs como vetor inicial é especialmente relevante para o Brasil, onde trabalho remoto e VPNs corporativas têm adoção massiva. ## Referências - [MITRE ATT&CK - S0556](https://attack.mitre.org/software/S0556)