Новый вирус-вымогатель Pay2Key атакует российский бизнес

Российские компании столкнулись с новой киберугрозой – программой-вымогателем Pay2Key. По данным экспертов компании F6, весной 2025 года было зафиксировано как минимум три волны атак на организации из сфер ритейла, финансов, ИТ и строительства.

Как рассказали IT Speaker в пресс-службе, киберпреступный сервис Pay2Key появился на русскоязычных теневых форумах в конце февраля 2025 года по модели RaaS (Ransomware as a Service, вымогатель как услуга). Несмотря на существующие в даркнете негласные правила, которые запрещают атаки на российские организации, злоумышленники активно использовали этот шифровальщик. Система мониторинга F6 MXDR выявила и предотвратила несколько фишинговых кампаний, направленных против российских пользователей. В марте и мае атакам подверглись ритейлеры, строительные компании и разработчики ПО, а в апреле – финансовые организации.

Злоумышленники использовали разнообразные темы для вредоносных писем: от коммерческих предложений и запросов на подтверждение данных до необычных формулировок вроде «забора с колючей проволокой» или «памятника для мемориального комплекса скважины». Помимо фишинга, в арсенале киберпреступников обнаружились самораспаковывающиеся архивы, легальные инструменты и сложные методы обхода антивирусной защиты.

Pay2Key основан на Mimic – семействе вредоносного ПО с одной из самых сложных систем шифрования, которое особенно активно используется против российского малого бизнеса. На теневых форумах создатели сервиса обещают партнерам доход до 1,5 млн рублей в месяц. Известны случаи, когда за расшифровку данных преступники требовали в среднем 170 тысяч рублей.

«Количество атак на российские компании с помощью программ-вымогателей постоянно растет, вместе с этим растет и количество группировок. На теневых русскоязычных форумах появляется все больше объявлений о создании RaaS-сервисов, и новые группировки все чаще отходят от негласного правила не атаковать организации в СНГ. За счет роста конкуренции на теневом рынке злоумышленники постоянно пытаются доработать и сделать уникальным свой проект, чтобы привлечь еще больше потенциальных партнеров. Мы считаем, что в ближайшее время мы увидим еще больше уникальных RaaS-проектов, атакующих в том числе российские компании», – комментирует аналитик отдела исследования кибератак Threat Intelligence компании F6 Артур Булгаков.

Ранее эксперты по безопасности обнаружили в интернете вредоносное ПО для Windows, которое маскируется под официального клиента генеративного ИИ DeepSeek-R1. Злоумышленники убеждают жертв скачать его с фишингового сайта, сделанного под официальный сервис DeepSeek.