Цивилизация
Российские компании предупредили о новой программе-вымогателе в руках киберпреступников Pay2Key. Весной 2025 года было зафиксировано как минимум три целевые атаки, направленные на компании в сферах ритейла, финансов, ИТ и строительства. Об этом «Газете.Ru» сообщили в пресс-службе компании F6.
Специалисты департамента киберразведки F6 установили, что вымогательский сервис Pay2Key распространяется на русскоязычных киберпреступных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года. Несмотря на негласный запрет многих теневых площадок на атаки против российских пользователей, злоумышленники активно применяли шифровальщик для атак на цели в России. Защитный сервис F6 обнаружил и заблокировал вредоносные рассылки, относящиеся как минимум к трем фишинговым кампаниям. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала финансовая отрасль.
Для обмана сотрудников атакующие использовали письма с разнообразными темами: от стандартного коммерческого предложения и подтверждения учетных данных до нестандартных, таких как покупка «забора с колючей проволокой» и «памятника для мемориального комплекса скважины». Помимо фишинговых рассылок, в арсенале преступников были обнаружены самораспаковывающиеся архивы, легитимные системные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic — семейства вредоносного ПО с одной из самых сложных схем шифрования, которое уже активно используется для атак на российский малый бизнес.
На одном из теневых форумов партнерам сервиса обещали среднемесячный заработок от 1 500 000 рублей. Уже известны случаи, когда за восстановление доступа участники киберпреступного проекта требовали выкуп, составляющий в среднем около 170 000 рублей.
Чтобы защититься от потенциальных кибератак, специалисты F6 рекомендуют компаниям регулярно обучать сотрудников методам распознавания фишинга и других форм социальной инженерии, а также избегать загрузки программного обеспечения из непроверенных источников.
Ранее крупнейший интернет-провайдер Санкт-Петербурга подвергся хакерской атаке.