İran Destekli Fidye Yazılımı Pay2Key, İsrail ve ABD’yi Hedef Alarak Geri Döndü!
İran ile ABD ve İsrail arasında geçtiğimiz ay tırmanan jeopolitik gerilim, siber savaş alanına da sıçradı. Güvenlik araştırmacıları, İran destekli olduğu bilinen ve Pay2Key olarak adlandırılan tehlikeli bir fidye yazılımının (ransomware), yenilenmiş ve daha agresif bir yapıyla yeniden ortaya çıktığını tespit etti. Artık “Pay2Key.I2P” adıyla faaliyet gösteren bu Hizmet Olarak Fidye Yazılımı (RaaS) şebekesi, özellikle İsrail ve ABD’deki hedeflere saldıran siber suçlulara çok daha yüksek kâr payı vaat ederek, ideolojik motivasyonunu açıkça ortaya koyuyor.
Bu gelişme, devlet destekli siber savaş ile küresel siber suç dünyasının nasıl iç içe geçtiğinin en son ve en endişe verici örneklerinden birini oluşturuyor.
Tehdidin Arkasındaki Gruplar: Fox Kitten ve Mimic Bağlantısı
Morphisec güvenlik araştırmacılarına göre, bu yeni operasyonun arkasında tanıdık ve tehlikeli isimler var.
- Pay2Key.I2P, kötü şöhretli İranlı Gelişmiş Kalıcı Tehdit (APT) grubu olan Fox Kitten (diğer adıyla Lemon Sandstorm) ile bağlantılı olarak değerlendiriliyor.
- Ayrıca, teknik olarak da bilinen Mimic fidye yazılımıyla yakından ilişkili olduğu veya onun yeteneklerini kendi bünyesine kattığı düşünülüyor.
Bu bağlantılar, Pay2Key’in sıradan bir siber suç operasyonundan çok, İran’ın siber savaş stratejisinin bir parçası olduğunu gösteriyor.
Yeni İş Modeli: Artırılmış Kâr Payı ve İdeolojik Motivasyon
Pay2Key.I2P, siber suçluları kendi saflarına çekmek için son derece cazip bir teklif sunuyor.
- Grup, İran’ı destekleyen veya “İran’ın düşmanlarına” karşı saldırılar düzenleyen bağlı ortaklarına (affiliates), elde edilen fidyenin %80’ini vermeyi vaat ediyor. Bu oran, daha önceki %70’lik paydan daha yüksek ve grubun ideolojik bağlılığını net bir şekilde ortaya koyuyor.
Morphisec’e göre, operasyon Şubat 2025’te ortaya çıktığından bu yana, dört ay içinde 51’den fazla başarılı fidye ödemesi alarak 4 milyon dolardan fazla gelir elde etti.
Teknik Olarak Bir İlk: I2P Üzerinde Barındırılan RaaS
Pay2Key.I2P’yi teknik olarak farklı kılan bir diğer önemli detay ise, bilinen ilk Hizmet Olarak Fidye Yazılımı (RaaS) platformunu, anonimlik sağlayan Görünmez İnternet Projesi (I2P) üzerinde barındırmasıdır.
- Daha önce bazı zararlı yazılımlar I2P’yi komuta-kontrol (C2) iletişimi için kullansa da, Pay2Key.I2P, tüm altyapısını doğrudan I2P üzerinde çalıştırarak bir adım daha ileri gidiyor. Bu, operasyonun izini sürmeyi ve çökertmeyi çok daha zor hale getiriyor.
Saldırı Yöntemleri ve Korunma
Pay2Key’in Windows versiyonu, genellikle kendini ayıklayan bir (SFX) arşiv içinde bir Windows yürütülebilir dosyası olarak dağıtılıyor. Sisteme sızdıktan sonra, tespit edilmekten kaçınmak için çeşitli taktikler kullanıyor:
- Microsoft Defender Antivirüs’ü devre dışı bırakıyor.
- Adli bilişim izlerini en aza indirmek için saldırının bir parçası olarak dağıtılan kötü amaçlı kalıntıları siliyor.
Bazı saldırı zincirlerinde ise, başlangıç noktası olarak Microsoft Word belgesi gibi görünen taşınabilir yürütülebilir dosyalar kullanıldığı ve ardından şifreleme sürecini başlatan komut dosyalarının çalıştırıldığı gözlemlendi.
Artan Tehdit ve ABD’den Uyarı
Bu bulgular, ABD’nin İran’daki üç nükleer tesise düzenlediği hava saldırılarının ardından, siber güvenlik ve istihbarat kurumlarının İran’dan gelebilecek misilleme saldırıları konusunda yaptığı uyarılarla aynı zamana denk geldi. Operasyonel teknoloji (OT) güvenlik şirketi Nozomi Networks, MuddyWater, APT33, OilRig ve Fox Kitten gibi İranlı hacker gruplarının, ABD’deki ulaşım ve imalat gibi kritik altyapı sektörlerini hedef aldığını ve sadece Mayıs-Haziran 2025 arasında İran bağlantılı 28 siber saldırı tespit ettiğini belirtti.
Pay2Key.I2P’nin yeniden ortaya çıkışı, jeopolitik gerilimlerin siber alana ne kadar hızlı ve ne kadar tehlikeli bir şekilde yansıyabildiğinin bir kanıtı. Devlet destekli siber savaş ile finansal motivasyonlu siber suçun bu tehlikeli birleşimi, Batılı kurumlar için büyük bir tehdit oluşturuyor.
Sizce devlet destekli siber saldırılarla mücadelede en etkili yöntem nedir? Bu tür ideolojik motivasyonlu fidye yazılımlarının geleceği hakkında ne düşünüyorsunuz? Düşüncelerinizi yorumlarda bizimle paylaşın!
En son siber savaş taktikleri ve küresel siber güvenlik tehditleri hakkındaki haberler için techneiro.com‘u takip etmeye devam edin!
