Die Attacke auf die namenslose US-Gesundheitsorganisation wurde von den Incident Response Experten bei Beazley Security und dem Halcyon Ransomware Research Center analysiert. Die Untersuchung offenbarte ein beunruhigendes Detail: Die Angreifer hatten mehrere Tage vor der Verschlüsselung bereits ein administratives Konto kompromittiert und später sämtliche Spuren ihrer Aktivitäten und Event-Logs gelöscht. Besonders auffällig war, dass dieses Mal keine Daten exfiltriert wurden – ein Bruch mit dem bisherigen Muster von Pay2Key, das bislang primär als Informationsbeschaffungswaffe bekannt war.
“Diese Gruppe priorisiert nicht immer Erpressung und finanzielle Gewinne, sondern auch die Zerstörung von Opfersystemen für strategische Auswirkungen,” erklärten die Halcyon-Experten. Cynthia Kaiser, Senior Vice President des Ransomware Research Centers und ehemals stellvertretende Assistentin des FBI Cyber Division, stellte die zentrale Frage: Handelt es sich um Profitmotivation im Chaos oder um staatliche Operationen mit wirtschaftlichen Nebeneinkünften?
Die Aktivität von Pay2Key hat sich deutlich erhöht, seit die Spannungen zwischen den USA und dem Iran eskaliert sind. Die Gruppe war in der Vergangenheit bereits auf russischen Cyberkriminal-Foren aktiv, bot im Sommer 2025 sogar an, die gesamte Betriebsstruktur zu verkaufen, erhöhte dann aber die Affiliate-Provisionen von 70 auf 80 Prozent – ein Signal fortgesetzter Operationen.
Die Zahlen sind beeindruckend: Zwischen Sommer und Herbst 2025 dokumentierte das Sicherheitsunternehmen Morphisec 51 Lösegeldzahlungen an Pay2Key im Umfang von etwa 4 Millionen Dollar. Seitdem hat die Gruppe etwa 170 weitere Opfer ins Visier genommen und 8 Millionen Dollar an Ransomware-Zahlungen erhalten.
Pay2Key entstand 2020 und wurde zunächst mit Angriffen auf israelische, amerikanische, aserbaidschanische und emiratische Ziele verbunden. Blockchain-Analysen zeigten Verbindungen zur iranischen Kryptobörse Excoino. Der Decryption-Angriff auf den Medizingerätehersteller Stryker, der etwa 200.000 Geräte komplett wischte, wird der konkurrierenden iranischen Gruppe Handala zugeordnet – ein Vorfall mit deutlich höherem öffentlichen Aufmerksamkeitswert.
Experten rechnen damit, dass es deutlich mehr iranische Cyberangrifffe gibt, die nicht öffentlich werden. Kaiser warnt: “Man sollte davon ausgehen, dass der Iran nach Zielen sucht – wahrscheinlich eine Mischung aus Wiper-Attacken, Ransomware und Versuchen, kritische Infrastruktur über ungepatchte Schwachstellen zu kompromittieren.” Dies unterstreicht die Bedeutung für deutsche Organisationen, ihre Systeme kontinuierlich zu aktualisieren und zu härten.