Когда антивирус на самом деле вирус. Хакеры придумали изящный способ обмануть Windows

Группировка Pay2Key, связанная с Ираном, снова напомнила о себе – и делает это заметно агрессивнее, чем раньше. В конце февраля злоумышленники взломали американскую медицинскую организацию и всего за три часа зашифровали всю инфраструктуру, хотя доступ к системе держали почти неделю.

Инцидент разобрали специалисты Beazley Security вместе с Halcyon. За несколько дней до атаки злоумышленники получили контроль над учётной записью администратора и не спешили действовать. Такая выжидательная тактика уже встречалась у Pay2Key: сначала закрепиться, потом спокойно подготовить удар.

Активность группировки усилилась на фоне очередного обострения вокруг Ирана. Подобная зависимость наблюдается не впервые: атаки Pay2Key регулярно совпадают с политическими событиями и чаще всего направлены против организаций в США и Израиле.

Новая версия программы-вымогателя заметно отличается от прошлогодних кампаний. Разработчики переработали механизмы скрытности, запуска и удаления следов. Часть старых сигнатур обнаружения больше не работает. При этом в последнем случае не нашли признаков кражи данных, что выбивается из привычной схемы с двойным вымогательством, когда жертве угрожают публикацией украденной информации.

Pay2Key впервые заявила о себе в 2020 году. Тогда удалось отследить платежи от израильских компаний до иранской криптобиржи, где для регистрации требовалось национальное удостоверение личности. Позже американские ведомства прямо связали деятельность группы с интересами иранского государства и назвали операции частью информационного противостояния.

В конце 2025 года участники Pay2Key неожиданно выставили весь проект на продажу в даркнете и в своей учётной записи в социальной сети X. Предлагали как инфраструктуру вместе с моделью «вымогательство как услуга», так и исходный код. Чем закончилась попытка продажи, неизвестно.

В ходе атаки злоумышленники действовали по отработанной схеме. Сначала использовали легитимный инструмент удалённого доступа TeamViewer, чтобы не привлекать внимание. Затем собрали учётные данные с помощью Mimikatz и других утилит, просканировали сеть и начали перемещаться между системами. Параллельно изучали резервные копии, чтобы лишить организацию возможности восстановиться.

Перед шифрованием атакующие отключили защиту необычным способом. В системе создавали фиктивный «антивирус Avast», из-за чего встроенный защитник Windows прекращал работу. После завершения атаки следы аккуратно удаляли, включая журналы событий. Такой уровень «чистки» говорит о том, что разработчики серьёзно доработали инструменты.

Отдельное внимание уделили подготовке системы: отключили спящий режим, остановили виртуальные машины, демонтировали виртуальные диски и удалили резервные копии. Даже шифрование BitLocker временно приостанавливали, чтобы получить доступ к данным без дополнительных проверок.

Само шифрование прошло быстро. На весь процесс ушло около трёх часов, причём активная фаза заняла примерно час. Файлы шифровали с использованием современных алгоритмов и добавляли расширение .6zldh_p2k. Для связи с жертвами применяли сеть I2P вместо более привычной Tor, что усложняет отслеживание. После завершения атаки на компьютерах появлялась записка с требованием выкупа. Жертвам предлагали расшифровать несколько файлов бесплатно в качестве «гарантии».

Текущая активность показывает, что Pay2Key не только вернулась, но и стала опаснее. При этом поведение группы всё чаще выходит за рамки обычного заработка на выкупах. Выбор целей и моменты атак напрямую связаны с политической обстановкой, а значит, речь идёт не только о деньгах, но и о давлении на инфраструктуру противника.