网络安全研究人员披露,与伊朗有关联的 Pay2Key 勒索软件团伙近期将攻击目标聚焦于全球航运和物流行业,通过加密关键业务系统数据、窃取敏感信息并威胁公开泄露的双重手段,向受害企业施压以索取赎金。该团伙自 2024 年下半年首次被记录以来,攻击手法持续升级,目前已形成一套成熟的 “侦察 – 入侵 – 加密 – 勒索” 闭环流程,对供应链关键环节构成显著威胁。
Pay2Key 团伙的攻击具有明确的行业针对性,近期已确认至少 12 家企业遭其入侵,涵盖国际货运代理公司、港口运营方及跨境物流服务商,分布于土耳其、印度、新加坡、德国等多个国家和地区。安全公司 Secureworks 指出,这类企业的业务系统存储着大量客户订单、货物追踪数据及供应链协作信息,一旦被加密或泄露,不仅会导致运营中断,还可能引发连锁性的供应链停滞,因此成为勒索软件团伙的 “高价值目标”。
在 2025 年 7 月针对土耳其某大型货运公司的攻击案例中,Pay2Key 团伙在加密其核心仓储管理系统后,窃取了约 30GB 包含客户商业数据的文件,并在暗网泄露平台发布部分样本,要求受害企业在 72 小时内支付 50 万美元比特币赎金,否则将公开全部数据。该攻击导致该公司港口货物分拣业务中断超过 48 小时,直接经济损失预估达 200 万美元。
研究发现,Pay2Key 团伙主要通过两种方式突破企业边界:
- 钓鱼邮件与恶意附件:伪装成货运单据、海关通知等行业相关文件,附件多为带有宏代码的 Excel 表格或压缩包(内含恶意 LNK 快捷方式),用户点击后会释放 Cobalt Strike Beacon 远控木马,为后续攻击铺路;
- 漏洞利用与弱口令破解:针对企业暴露在公网的远程访问设备(如 VPN、RDP 服务),利用已知漏洞(如 Fortinet SSL VPN 漏洞 CVE-2023-48795)或暴力破解弱口令获取初始权限,尤其偏好攻击未及时更新补丁的老旧设备。
入侵后,团伙会先通过 “BloodHound” 工具分析企业 Active Directory(活动目录)域结构,定位域控制器及高权限账户;随后利用 “Mimikatz” 等工具窃取内存中的账户凭据,或通过篡改 “组策略” 部署恶意脚本,实现跨网段横向移动。在权限提升环节,常利用 Windows 系统漏洞(如 CVE-2024-21412)或滥用 “服务权限配置错误”,获取 LocalSystem 级别的系统控制权。
- 数据窃取:使用 “Rclone” 工具将敏感文件(如财务报表、客户合同、货运数据)同步至团伙控制的云存储服务器,窃取前会通过 “7-Zip” 加密压缩,避免传输过程中被检测;
- 文件加密:采用 “混合加密算法”(AES-256-CBC 加密文件内容,RSA-4096 加密 AES 密钥),加密后文件会添加 “.pay2key” 扩展名,并在每个目录生成 “README_PAY2KEY.txt” 勒索通知。与其他团伙不同的是,Pay2Key 会刻意避开系统关键文件(如 Windows 目录、启动项),防止受害设备直接崩溃,以便后续谈判持续施压。
Secureworks 威胁情报团队通过对攻击基础设施、恶意代码签名及暗网沟通模式的分析,认为 Pay2Key 团伙与伊朗伊斯兰革命卫队(IRGC)支持的黑客组织 “MuddyWater” 存在技术关联 —— 两者使用的 C2(命令与控制)服务器 IP 存在重叠,且恶意代码中均包含波斯语注释(如 “تکمیل عملیات رمزگذاری”,意为 “完成加密操作”)。此外,该团伙的攻击时间常与伊朗地区的工作时间(UTC+3:30)吻合,进一步暗示其地域背景。
研究还发现,Pay2Key 团伙采用 “勒索软件即服务(RaaS,Ransomware-as-a-Service)” 模式运营,通过地下论坛招募 “附属攻击者”(Affiliates),按赎金金额的 30%-50% 进行分成。其暗网泄露平台(“Pay2Key Leaks”)于 2025 年 5 月上线,目前已公开 8 家拒绝支付赎金企业的部分数据,包括客户身份证信息、货运报关单等敏感内容。
针对 Pay2Key 团伙的攻击特点,安全研究人员提出以下防御建议:
- 强化边界防护:及时更新 VPN、防火墙等设备补丁,禁用不必要的公网暴露服务;为远程访问设置多因素认证(MFA),避免使用弱口令;
- 邮件安全防护:部署邮件网关拦截钓鱼邮件,禁用 Office 文件宏功能,对不明来源的压缩包、快捷方式文件进行严格检测;
- 数据备份与应急响应:采用 “3-2-1” 备份策略(3 份数据副本、2 种不同存储介质、1 份异地离线备份),定期测试备份恢复流程;制定勒索攻击应急预案,明确数据加密后的沟通与处置流程;
- 威胁监测与狩猎:监控网络中 “Rclone”“Cobalt Strike” 等工具的异常活动,关注带有 “.pay2key” 扩展名的文件;利用 EDR(终端检测与响应)工具拦截内存凭据窃取行为;
- 行业协作与情报共享:物流企业可加入行业安全联盟,及时共享 Pay2Key 团伙的最新 IOC(Indicator of Compromise,威胁指标,如恶意 IP、哈希值),提前阻断攻击路径。
目前,Pay2Key 团伙的攻击仍在持续,且有向制造业、能源行业扩展的趋势。安全专家提醒,企业需警惕针对行业特定场景的钓鱼攻击,同时加强对供应链合作伙伴的安全评估,避免因第三方漏洞引发连锁风险。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
