RansomwareHackerangriffeSchwachstellen

Iran setzt auf Pseudo-Ransomware: Pay2Key kehrt mit russischen Söldnern zurück

Iran setzt auf Pseudo-Ransomware: Pay2Key kehrt mit russischen Söldnern zurück
Zusammenfassung

Der Iran setzt verstärkt auf eine neue Hybrid-Strategie der Cyberkriegsführung, die die Grenzen zwischen staatlichen und kriminellen Hackeraktivitäten bewusst verwischt. Wie Sicherheitsexperten des Unternehmens KELA berichten, hat der Iran die Ransomware-Operation Pay2Key wiederbelebt und rekrutiert dafür gezielt russische Cyberkriminelle aus Online-Foren. Besonders bemerkenswert ist die Einführung sogenannter „Pseudo-Ransomware": Diese verschlüsselt zwar Daten wie klassische Ransomware, dient aber tatsächlich als destruktive Wiper-Malware zur Sabotage. Der Iran bietet seinen rekrutierten Cyberkriminellen erhöhte Provisionen – bis zu 80 Prozent statt 70 Prozent – wenn diese Anschläge gegen von ihm als „Feinde" eingestufte Länder wie die USA und Israel durchführen. Diese Entwicklung stellt ein erhebliches Risiko für deutsche Unternehmen dar, da sie als internationale Ziele ins Visier geraten könnten. Besonders kritisch: Firmen, die Opfer solcher Anschläge werden, riskieren schwerwiegende rechtliche Konsequenzen, wenn sie unbeabsichtigt Lösegeld an unter Sanktionen stehende Organisationen zahlen. Für deutsche Behörden und Konzerne wird die Unterscheidung zwischen reiner Kriminalität und staatlicher Cyberattacke damit zur compliance-relevanten Herausforderung.

Der Iran modernisiert seine Cyberwaffen-Arsenal und geht dabei unkonventionelle Wege. Nach Erkenntnissen von KELA hat der iranische Staat die Ransomware-Operation Pay2Key wieder aktiviert und rekrutiert dazu gezielt Cyberkriminelle aus russischen Underground-Foren. Dies ist Teil einer größeren Strategie, die seit dem US-israelischen Angriff auf iranische Nuklearanlagen am 28. Februar 2024 massiv an Fahrt gewinnt.

Besonders raffiniert ist das Geschäftsmodell: Der Iran bietet Affiliate-Partnern eine erhöhte Gewinnbeteiligung von 80 Prozent – statt wie üblich 70 Prozent – wenn diese erfolgreich gegen designierte “Feinde” des Iran angreifen, also gegen US- und israelische Ziele. Dieses Prämiensystem schafft einen “Force Multiplier”: Der iranische Staat outsourced seine geopolitische Vergeltung an ein globales Cyberkriminalisten-Netzwerk, das bereitwillig lukrative Aufträge annimmt.

Doch damit nicht genug. Der Iran hat eine neue taktische Waffe entwickelt: Sogenannte Pseudo-Ransomware-Anschläge. Dabei werden destruktive Wiper-Malware und Daten-Sabotage-Tools in Ransomware-ähnliche Verschlüsselung verpackt. Die iranische APT-Gruppe Agrius nutzt dazu die Apostle-Malware, die ursprünglich als Data-Wiper konzipiert war und nun als Ransomware-Variante umfunktioniert wurde. Das Ziel: die geopolitischen Motive der Angreifer zu verschleiern und die Incident-Response der Opfer zu verkomplizieren.

Für Unternehmen entstehen dadurch völlig neue Probleme. Wenn Organisationen nicht eindeutig identifizieren können, ob sie es mit Cyberkriminalität oder staatlich gesponserten Operationen zu tun haben, entsteht ein “Attribution Nightmare”. Das ist nicht nur ein IT-Problem, sondern ein Compliance-Desaster: Wer versehentlich Lösegeld an sanktionierte iranische Entitäten zahlt, riskiert massive Strafen der US-amerikanischen OFAC (Office of Foreign Assets Control).

Deutsche Unternehmen sollten diesen Trend ernst nehmen. Die Experten von KELA empfehlen konkrete Maßnahmen: Regelmäßiges Patching, Überwachung von Edge-Devices, Implementierung von Phishing-resistenter Multi-Faktor-Authentifizierung, Offline-Backups und durchdachte Incident-Response-Pläne. Zusätzlich sollten IT- und Operational-Technology-Systeme segmentiert, Zugriffskontrollen gehärtet und kontinuierliche Threat-Intelligence-Überwachung etabliert werden.

Die bisherige Trennung zwischen staatlicher Cyberkriegsführung und profitgierigen Cyberkriminellen ist offenbar Geschichte. Der Iran zeigt, dass diese Welten zusammenfließen können – mit massiven Implikationen für die globale Cybersicherheit.

Ähnliche Artikel