Российские компании столкнулись с новой угрозой в виде программы-вымогателя Pay2Key, которую активно используют киберпреступники. Весной 2025 года было зафиксировано минимум три целевых атаки на компании из сфер розничной торговли, финансов, ИТ и строительства, как сообщили в пресс-службе компании F6.
Эксперты департамента киберразведки F6 выяснили, что с конца февраля 2025 года программа Pay2Key распространяется на русскоязычных хакерских форумах через модель RaaS (Ransomware as a Service). Несмотря на запреты многих теневых платформ на атаки российских пользователей, злоумышленники активно направляют свои усилия на российские компании. Компания F6 успешно обнаружила и заблокировала фишинговые кампании, связанные с вредоносными рассылками. В марте и мае целями стали ритейл и строительные компании, а в апреле — финансовый сектор.
Киберпреступники использовали разнообразные темы в своих письмах для обмана сотрудников — от стандартных коммерческих предложений и подтверждений учетных данных до нестандартных, вроде покупки «забора с колючей проволокой» или «памятника для мемориального комплекса скважины». Среди методов атаки были выявлены самораспаковывающиеся архивы, легитимные системные инструменты и продвинутые приемы обхода антивирусных программ. Вредоносное ПО Pay2Key базируется на Mimic — одном из самых сложных видов шифрования, который уже активно применяется для атак на малый бизнес в России.
На теневых форумах партнерам Pay2Key обещали среднемесячный доход в размере 1 500 000 рублей, а за восстановление доступа требовали выкуп, составляющий в среднем около 170 000 рублей.
Компаниям рекомендуется регулярно обучать сотрудников методам распознавания фишинговых атак и других форм социальной инженерии, а также избегать установки ПО из сомнительных источников для защиты от возможных кибератак. Недавно также стало известно, что крупнейший интернет-провайдер Санкт-Петербурга подвергся хакерской атаке.