El ransomware Pay2Key.I2P resurge con incentivos para ciberataques contra Israel y EE. UU.
Introducción
En el contexto geopolítico actual, las operaciones de ciberataques con motivaciones estatales y económicas están experimentando una escalada significativa. El resurgimiento de Pay2Key, un servicio de ransomware-as-a-service (RaaS) vinculado a actores iraníes, añade una capa de complejidad a un escenario ya de por sí volátil. Ahora, bajo el nombre Pay2Key.I2P, esta plataforma no solo ha reactivado sus operaciones, sino que ofrece recompensas sustanciales a los afiliados que dirijan sus ataques contra objetivos en Israel y Estados Unidos, en plena escalada de tensiones entre estos países.
Contexto del Incidente o Vulnerabilidad
Pay2Key ha sido históricamente asociado a campañas de ransomware dirigidas principalmente contra empresas israelíes desde finales de 2020, pero su reciente actividad coincide con el repunte de hostilidades entre Irán, Israel y Estados Unidos. El modelo RaaS permite que actores menos sofisticados utilicen la infraestructura del grupo desarrollador a cambio de una comisión sobre los rescates obtenidos. Según analistas de inteligencia, la operación actual está vinculada con el grupo Fox Kitten (también conocido como Lemon Sandstorm), reconocido por sus campañas de intrusión persistente avanzada (APT) y sabotaje digital.
Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
Pay2Key.I2P utiliza una infraestructura de control y comunicación basada en I2P (Invisible Internet Project), dificultando el rastreo de las comunicaciones entre los operadores y los sistemas comprometidos. Las versiones más recientes del malware han incorporado cifrado híbrido RSA-2048 y AES-256 para asegurar la inaccesibilidad de los datos de las víctimas.
En cuanto a los vectores de ataque, los afiliados de Pay2Key.I2P suelen explotar vulnerabilidades conocidas en servicios expuestos (por ejemplo, RDP — CVE-2019-0708, VPNs de Pulse Secure — CVE-2019-11510 y Fortinet — CVE-2018-13379) siguiendo las TTPs descritas en MITRE ATT&CK: Técnica T1190 (Exploit Public-Facing Application), T1078 (Valid Accounts) y T1059 (Command and Scripting Interpreter).
Indicadores de Compromiso (IoC) reportados recientemente incluyen:
– Hashes SHA256 de variantes recientes del payload.
– Direcciones .i2p empleadas para la negociación del rescate.
– Actividad de Cobalt Strike como framework de post-explotación.
– Uso de herramientas legítimas como PSExec y RDP para el movimiento lateral.
Impacto y Riesgos
El impacto potencial de Pay2Key.I2P es significativo, especialmente para organizaciones con infraestructuras expuestas o con medidas de segmentación insuficientes. El modelo RaaS facilita la proliferación de ataques, permitiendo que actores de baja capacidad técnica ejecuten operaciones con un alto grado de automatización. Según informes recientes, hasta un 23% de los ataques de ransomware registrados en abril de 2024 en Israel y un 14% en Estados Unidos presentan artefactos asociados a esta variante.
El riesgo no es únicamente económico —con rescates demandados que oscilan entre 100.000 y 1 millón de dólares— sino también reputacional y legal, por el potencial incumplimiento de normativas como el GDPR y la inminente NIS2 europea en materia de notificación de incidentes y protección de datos críticos.
Medidas de Mitigación y Recomendaciones
Para mitigar el riesgo de infección por Pay2Key.I2P, se recomienda:
– Aplicar parches de seguridad a servicios expuestos y monitorizar vulnerabilidades críticas (especialmente VPN y RDP).
– Implementar autenticación multifactor (MFA) en accesos remotos y restringir el acceso por geolocalización.
– Monitorizar logs de acceso y comportamiento inusual en la red, empleando SIEMs y EDRs con reglas específicas para TTPs relacionadas.
– Realizar backups cifrados y offline, testando periódicamente su integridad y capacidad de restauración.
– Compartir indicadores de compromiso con CSIRTs nacionales y plataformas sectoriales.
Opinión de Expertos
Expertos en ciberinteligencia como el equipo de Talos y varios CERTs nacionales coinciden en que la sofisticación creciente de estos grupos, apoyados por infraestructuras de anonimización como I2P, supone un reto técnico significativo para la defensa. Además, la incentivación explícita para atacar objetivos específicos puede desencadenar una oleada de ataques oportunistas, lo que exige una respuesta coordinada entre sector público y privado.
Implicaciones para Empresas y Usuarios
Las empresas de sectores estratégicos (infraestructura crítica, financiero, salud, tecnológico) deben considerar el ransomware no solo como una amenaza financiera, sino como un vector de desestabilización geopolítica. La adopción de marcos de ciberresiliencia y el cumplimiento de las nuevas obligaciones legales europeas (NIS2, DORA) se tornan urgentes, así como la concienciación interna y la simulación de incidentes.
Para los usuarios, el riesgo de filtración de datos personales y la interrupción de servicios esenciales son las consecuencias más directas, por lo que se recomienda extremar precauciones en el uso de credenciales y la actualización de dispositivos.
Conclusiones
El resurgimiento de Pay2Key bajo el nombre Pay2Key.I2P refleja una tendencia clara hacia la profesionalización y especialización de los servicios de ransomware, con operadores que ajustan sus incentivos a los intereses estratégicos de Estados hostiles. La defensa frente a estas amenazas exige una aproximación proactiva, colaborativa y centrada en la gestión de vulnerabilidades, la respuesta a incidentes y el cumplimiento normativo.
(Fuente: feeds.feedburner.com)