Der Bericht ordnet die Aktivitäten in eine umfassendere iranische Strategie ein, kriminelle Methoden zu instrumentalisieren und kriminelle Hacker anzuwerben, um sich im laufenden Krieg Vorteile zu verschaffen. KELA datiert dessen Beginn auf den gemeinsamen US-israelischen Angriff auf Iran am 28. Februar.

Für betroffene Unternehmen entsteht laut KELA nicht nur eine Betriebsstörung, sondern auch ein erhebliches rechtliches Problem. ‘Wenn ein Unternehmen Opfer eines erfolgreichen Ransomware- oder Erpressungsangriffs wird, ist die Identifizierung des tatsächlichen Täters nicht länger nur eine IT-Frage — sie wird zu einer kritischen Compliance-Angelegenheit’, heißt es im Bericht. Opfer riskierten Verstöße gegen Sanktionen sowie schwere rechtliche und finanzielle Strafen, falls Lösegeldzahlungen unbeabsichtigt an staatlich verbundene Stellen fließen, etwa an Einrichtungen unter Sanktionen des Office of Foreign Assets Control (OFAC) des US-Finanzministeriums.

KELA vergleicht das Wiederaufleben von Pay2Key mit Vorgängen im vergangenen Juli, im Nachgang des zwölftägigen Konflikts im Juni des Vorjahres, bei dem die USA und Israel iranische Nuklearanlagen angriffen und zerstörten. Schon damals tauchte Pay2Key wieder auf, nahm westliche Organisationen ins Visier und stellte höhere Auszahlungen für Angriffe in Aussicht, die Irans geopolitischen Zielen dienen.

Ein ähnliches Modell der Gewinnbeteiligung verfolgt Iran nach Angaben von KELA auch jetzt: Online angeworbene Pay2Key-Partner erhalten einen erhöhten Anteil von 80 statt 70 Prozent, wenn sie erfolgreich Angriffe gegen die als ‘Feinde’ Irans bezeichneten USA und Israel ausführen. ‘Dieses Prämiensystem veranschaulicht die hybride Bedrohung perfekt: Iran lagert geopolitische Vergeltung an den globalen Pool krimineller Cybertalente aus’, so der Bericht.

Parallel dazu setzt Iran laut KELA auf zerstörerische Tarnangriffe, die mit ransomware-ähnlicher Verschlüsselung die eigentliche Datenvernichtung, Sabotage oder politische Vergeltung verschleiern. Die iranisch gestützte APT-Gruppe Agrius nutzt dabei die Schadsoftware Apostle, die von ihrer ursprünglichen Form als Daten-Wiper zu einer Ransomware-Variante umgebaut wurde. ‘Zerstörerische Wiper in das Gewand einer finanziellen Erpressung zu hüllen, erlaubt es den Akteuren, ihre geopolitischen Motive zu verschleiern und die Vorfallreaktion zu erschweren’, erklärt KELA.

Der anhaltende Konflikt habe die Bedrohungslage ‘grundlegend verschoben’, so die Forscher. Iran habe seine Cyberoffensive seit Kriegsbeginn deutlich verstärkt — in einem Feld, in dem es gegenüber seinen Gegnern größere Vorteile hat als im physischen Kampf. Derselbe Staatsapparat, der rein zerstörerische oder hacktivistische Kampagnen unterstütze, sei tief mit der kriminellen Untergrundszene verflochten.

Für Verteidiger bedeutet dies laut KELA, finanzielle, operative und geopolitische Risiken zugleich zu berücksichtigen. Zu den empfohlenen Maßnahmen zählen das Patchen und Überwachen von Edge-Geräten, phishing-resistente Mehr-Faktor-Authentifizierung, Offline-Backups und Notfallbereitschaft. Organisationen sollten zudem IT- und OT-Systeme segmentieren, Zugriffskontrollen härten und durch kontinuierliche Bedrohungsüberwachung ihre Sicht auf gegnerische Infrastruktur und Märkte für gestohlene Zugangsdaten verbessern.