网络安全研究人员披露,与伊朗有关联的 Pay2Key 勒索软件团伙近期将攻击目标聚焦于全球航运和物流行业,通过加密关键业务系统数据、窃取敏感信息并威胁公开泄露的双重手段,向受害企业施压以索取赎金。该团伙自 2024 年下半年首次被记录以来,攻击手法持续升级,目前已形成一套成熟的 “侦察 – 入侵 – 加密 – 勒索” 闭环流程,对供应链关键环节构成显著威胁。
攻击目标与行业影响
Pay2Key 团伙的攻击具有明确的行业针对性,近期已确认至少 12 家企业遭其入侵,涵盖国际货运代理公司、港口运营方及跨境物流服务商,分布于土耳其、印度、新加坡、德国等多个国家和地区。安全公司 Secureworks 指出,这类企业的业务系统存储着大量客户订单、货物追踪数据及供应链协作信息,一旦被加密或泄露,不仅会导致运营中断,还可能引发连锁性的供应链停滞,因此成为勒索软件团伙的 “高价值目标”。 在 2025 年 7 月针对土耳其某大型货运公司的攻击案例中,Pay2Key 团伙在加密其核心仓储管理系统后,窃取了约 30GB 包含客户商业数据的文件,并在暗网泄露平台发布部分样本,要求受害企业在 72 小时内支付 50 万美元比特币赎金,否则将公开全部数据。该攻击导致该公司港口货物分拣业务中断超过 48 小时,直接经济损失预估达 200 万美元。攻击技术细节与入侵路径
1. 初始访问手段
研究发现,Pay2Key 团伙主要通过两种方式突破企业边界:2. 横向移动与权限提升
入侵后,团伙会先通过 “BloodHound” 工具分析企业 Active Directory(活动目录)域结构,定位域控制器及高权限账户;随后利用 “Mimikatz” 等工具窃取内存中的账户凭据,或通过篡改 “组策略” 部署恶意脚本,实现跨网段横向移动。在权限提升环节,常利用 Windows 系统漏洞(如 CVE-2024-21412)或滥用 “服务权限配置错误”,获取 LocalSystem 级别的系统控制权。3. 数据窃取与加密策略
团伙背景与关联分析
Secureworks 威胁情报团队通过对攻击基础设施、恶意代码签名及暗网沟通模式的分析,认为 Pay2Key 团伙与伊朗伊斯兰革命卫队(IRGC)支持的黑客组织 “MuddyWater” 存在技术关联 —— 两者使用的 C2(命令与控制)服务器 IP 存在重叠,且恶意代码中均包含波斯语注释(如 “تکمیل عملیات رمزگذاری”,意为 “完成加密操作”)。此外,该团伙的攻击时间常与伊朗地区的工作时间(UTC+3:30)吻合,进一步暗示其地域背景。 研究还发现,Pay2Key 团伙采用 “勒索软件即服务(RaaS,Ransomware-as-a-Service)” 模式运营,通过地下论坛招募 “附属攻击者”(Affiliates),按赎金金额的 30%-50% 进行分成。其暗网泄露平台(“Pay2Key Leaks”)于 2025 年 5 月上线,目前已公开 8 家拒绝支付赎金企业的部分数据,包括客户身份证信息、货运报关单等敏感内容。防御建议与应对措施
针对 Pay2Key 团伙的攻击特点,安全研究人员提出以下防御建议: 目前,Pay2Key 团伙的攻击仍在持续,且有向制造业、能源行业扩展的趋势。安全专家提醒,企业需警惕针对行业特定场景的钓鱼攻击,同时加强对供应链合作伙伴的安全评估,避免因第三方漏洞引发连锁风险。
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。


评论