Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Иран распоредува „псевдо-ransomware“, ги оживува операциите Pay2Key

Објавено: 01.04.2026

Иранските APT групи ги замаглуваат границите меѓу државно спонзорирани и сајберкриминални активности со цел да таргетираат организации со големо влијание во САД. Иран регрутира руски сајберкриминалци и воспоставува други креативни партнерства што ги бришат линиите меѓу државните и криминалните сајбер активности за да ги унапреди своите геополитички цели во тековниот конфликт со САД и Израел.

Како дел од овие активности, Иран повторно ја активира Pay2Key — ransomware операција поддржана од државата — преку регрутирање соработници од руски сајберкриминални форуми, според извештај на Cyber Intelligence Center на KELA објавен оваа недела. Според извештајот, Иран ја користи Pay2Key „како казнена рака на државата“ за напади врз „високо значајни цели во САД“. Оваа стратегија вклучува и користење на „псевдо-ransomware“ напади и дејствување како посредник за почетен пристап (IAB) за ransomware групи, со цел сајбер нарушувања и финансиска добивка. Истражувачите од KELA објаснуваат дека псевдо-ransomware нападите користат енкрипција, но всушност се деструктивни активности типични за wiper малициозен софтвер.

Овие потези се дел од поширока стратегија на Иран за „вооружување“ на техниките од сајберкриминалот и регрутирање криминални хакери за да стекне предност во тековниот конфликт што започна со заедничкиот напад на САД и Израел врз Иран на 28 февруари, според KELA. Овие активности претставуваат уникатна закана за организациите, бидејќи не само што предизвикуваат прекин на работењето, туку создаваат и „кошмар за атрибуција“ — односно тешкотија да се утврди вистинскиот напаѓач — што носи значителни правни и оперативни ризици.

„Ако компанија стане жртва на успешен ransomware или изнудачки напад, идентификацијата на вистинскиот актер повеќе не е само ИТ проблем — туку критично прашање за усогласеност,“ се наведува во извештајот. Жртвите ризикуваат прекршување на санкции и сериозни правни и финансиски казни ако исплатите за откуп ненамерно завршат кај ентитети поврзани со држави под санкции, како оние под надлежност на OFAC при Министерството за финансии на САД.

Стари и нови стратегии за сајбер војување

Повторната појава на Pay2Key е слична на ситуацијата од минатиот јули, по 12-дневниот конфликт во јуни минатата година, кога САД и Израел нападнаа и уништија ирански нуклеарни објекти. Тогаш Pay2Key повторно се појави за да таргетира западни организации и нудеше поголеми исплати за напади што се усогласени со геополитичките цели на Иран.

Иран сега применува сличен модел на делење профит со своите соработници, зголемувајќи го нивниот удел од 70% на 80% доколку успешно извршат напади врз означените „непријатели“ — односно САД и Израел. „Овој систем на награди совршено ја илустрира хибридната закана: Иран практично ја аутсорсира геополитичката одмазда на глобалниот сајберкриминален талент, создавајќи моќен и скалабилен мултипликатор за своите државни операции,“ се наведува во извештајот.

Во исто време, Иран користи нова сајбер тактика преку деструктивни „димни завеси“, каде што енкрипција слична на ransomware се користи за прикривање уништување на податоци, саботажа или политичка одмазда. Во овие напади, APT групата Agrius, поддржана од Иран, го користи малициозниот софтвер Apostle, кој е адаптиран од првичен wiper во ransomware варијанта.

„Претставувањето на деструктивни wiper напади како финансиска изнуда им овозможува на актерите да ги сокријат своите геополитички мотиви и да го отежнат одговорот на инциденти,“ наведува KELA.

Замаглените офанзивни линии бараат нова одбрана

Истражувачите од KELA велат дека тековниот конфликт „фундаментално го променил пејзажот на закани“ и довел до намерно бришење на границите меѓу државно спонзорираното сајбер војување и опортунистичкиот сајберкриминал. Иран значително ги засилил своите сајбер офанзиви од почетокот на конфликтот — поле во кое има поголема предност во споредба со класичниот воен простор.

„Истата државна структура што спонзорира деструктивни или хактивистички кампањи е длабоко поврзана со сајберкриминалното подземје,“ се наведува во извештајот.

Оваа промена значи дека организациите мора истовремено да управуваат со финансиски, оперативни и геополитички ризици преку основни мерки за отпорност и проактивни контроли. Препорачаните мерки вклучуваат редовно ажурирање (patching) и следење на уредите на мрежниот раб, имплементација на MFA отпорен на phishing, како и одржување offline backup-и и подготвеност за одговор на инциденти.

Организациите исто така треба да ги сегментираат ИТ и оперативните (OT) системи и да ги зајакнат контролите за пристап за да се одбранат од сè покомплексните закани од актери поддржани од Иран. Следењето на threat-intelligence информации може значително да ја подобри видливоста врз инфраструктурата на напаѓачите и пазарите на компромитирани креденцијали.

Извори:

  • DarkReading – Iran Deploys ‘Pseudo-Ransomware,’ Revives Pay2Key Operations DarkReading