Вчера защищали от Запада, сегодня грабят Россию. Pay2Key показал, что в теневом бизнесе нет патриотизма
NewsMakerКиберпреступники сменили риторику — теперь они работают против своих.
Программа-вымогатель Pay2Key, распространение которой зафиксировала компания F6, представляет собой новую угрозу для российских организаций, несмотря на негласные запреты в теневых кругах на атаки по СНГ. По оценке департамента киберразведки F6, вымогатель начал активно распространяться на русскоязычных форумах в конце февраля 2025 года по модели RaaS — «вымогатель как услуга». Это позволило использовать инструмент множеству независимых киберпреступников, что, в свою очередь, ускорило и разнообразило векторы атак на российские компании.
В период с марта по май F6 зафиксировала минимум три фишинговые кампании, направленные против представителей ритейла, строительного сектора, финансовых структур и компаний, разрабатывающих ПО. Атаки проводились через фишинговые письма с тщательно подобранными темами, среди которых фигурировали не только традиционные «коммерческие предложения» или «подтверждение учётных данных», но и более необычные — «забор с колючей проволокой» и «памятник для мемориального комплекса скважины». Подобные нестандартные темы могли быть призваны снизить настороженность и усилить эффект социальной инженерии.
Помимо писем, злоумышленники использовали самораспаковывающиеся архивы, в которых размещались полезные нагрузки, а также легитимные инструменты, что затрудняло обнаружение. Сам вымогатель Pay2Key основан на базе семейства Mimic , известного своими сложными алгоритмами шифрования и применяемого прежде в атаках на малые предприятия в России. По данным F6, его архитектура позволяет эффективно обходить большинство современных антивирусных решений, особенно если он внедряется с использованием доверенных программ.
Система F6 MXDR обнаружила активность, связанную с Pay2Key, и заблокировала вредоносные рассылки в каждом из трёх случаев. Указанная система использует машинное обучение и анализ телеметрии для раннего выявления угроз. В дополнение к этому в рамках киберразведки F6 Threat Intelligence были выявлены обсуждения Pay2Key на теневых площадках, где партнёрам проекта обещали доход до полутора миллионов рублей в месяц.
Сами преступники запрашивали за дешифровку данных в среднем 170 тысяч рублей. Эти суммы, по всей видимости, выбираются так, чтобы быть одновременно значимыми, но не катастрофичными — с целью склонить жертву к оплате.
Представитель аналитического подразделения Threat Intelligence F6 Артур Булгаков заявил, что наблюдается не только рост числа атак на российские компании, но и увеличение числа киберпреступных RaaS-сервисов, готовых атаковать цели внутри страны. Это объясняется усиливающейся конкуренцией на подпольных рынках — группировки стремятся выделиться за счёт «уникальности» своих решений, отказываясь от прежних ограничений и этических барьеров. Специалисты F6 прогнозируют, что в ближайшее время подобных RaaS-инициатив станет ещё больше, включая проекты, нацеленные напрямую на российские компании.
Для защиты от подобных угроз компания F6 предлагает несколько ключевых шагов. В первую очередь, рекомендуется регулярно обучать сотрудников распознаванию фишинга и приёмам социальной инженерии. Кроме того, следует исключить загрузку программ из непроверенных источников и использовать решения для проактивного мониторинга угроз. Для противодействия фишинговым кампаниям важно применять инструменты защиты электронной почты, а также интегрировать в инфраструктуру современные системы обнаружения и реагирования на инциденты.
Технические подробности Pay2Key, а также индикаторы компрометации опубликованы в свежем блоге компании F6.

Программа-вымогатель Pay2Key, распространение которой зафиксировала компания F6, представляет собой новую угрозу для российских организаций, несмотря на негласные запреты в теневых кругах на атаки по СНГ. По оценке департамента киберразведки F6, вымогатель начал активно распространяться на русскоязычных форумах в конце февраля 2025 года по модели RaaS — «вымогатель как услуга». Это позволило использовать инструмент множеству независимых киберпреступников, что, в свою очередь, ускорило и разнообразило векторы атак на российские компании.
В период с марта по май F6 зафиксировала минимум три фишинговые кампании, направленные против представителей ритейла, строительного сектора, финансовых структур и компаний, разрабатывающих ПО. Атаки проводились через фишинговые письма с тщательно подобранными темами, среди которых фигурировали не только традиционные «коммерческие предложения» или «подтверждение учётных данных», но и более необычные — «забор с колючей проволокой» и «памятник для мемориального комплекса скважины». Подобные нестандартные темы могли быть призваны снизить настороженность и усилить эффект социальной инженерии.
Помимо писем, злоумышленники использовали самораспаковывающиеся архивы, в которых размещались полезные нагрузки, а также легитимные инструменты, что затрудняло обнаружение. Сам вымогатель Pay2Key основан на базе семейства Mimic , известного своими сложными алгоритмами шифрования и применяемого прежде в атаках на малые предприятия в России. По данным F6, его архитектура позволяет эффективно обходить большинство современных антивирусных решений, особенно если он внедряется с использованием доверенных программ.
Система F6 MXDR обнаружила активность, связанную с Pay2Key, и заблокировала вредоносные рассылки в каждом из трёх случаев. Указанная система использует машинное обучение и анализ телеметрии для раннего выявления угроз. В дополнение к этому в рамках киберразведки F6 Threat Intelligence были выявлены обсуждения Pay2Key на теневых площадках, где партнёрам проекта обещали доход до полутора миллионов рублей в месяц.
Сами преступники запрашивали за дешифровку данных в среднем 170 тысяч рублей. Эти суммы, по всей видимости, выбираются так, чтобы быть одновременно значимыми, но не катастрофичными — с целью склонить жертву к оплате.
Представитель аналитического подразделения Threat Intelligence F6 Артур Булгаков заявил, что наблюдается не только рост числа атак на российские компании, но и увеличение числа киберпреступных RaaS-сервисов, готовых атаковать цели внутри страны. Это объясняется усиливающейся конкуренцией на подпольных рынках — группировки стремятся выделиться за счёт «уникальности» своих решений, отказываясь от прежних ограничений и этических барьеров. Специалисты F6 прогнозируют, что в ближайшее время подобных RaaS-инициатив станет ещё больше, включая проекты, нацеленные напрямую на российские компании.
Для защиты от подобных угроз компания F6 предлагает несколько ключевых шагов. В первую очередь, рекомендуется регулярно обучать сотрудников распознаванию фишинга и приёмам социальной инженерии. Кроме того, следует исключить загрузку программ из непроверенных источников и использовать решения для проактивного мониторинга угроз. Для противодействия фишинговым кампаниям важно применять инструменты защиты электронной почты, а также интегрировать в инфраструктуру современные системы обнаружения и реагирования на инциденты.
Технические подробности Pay2Key, а также индикаторы компрометации опубликованы в свежем блоге компании F6.