伊朗勒索軟體Pay2Key入侵美國醫療機構，3小時內加密所有檔案

資安公司Halcyon與Beazley Security聯手揭露，與伊朗有關的勒索軟體Pay2Key近期再度活躍，攻擊行動隨著地緣政治緊張局勢升溫而增加，顯示其運作與國家利益高度相關。

兩家資安公司看到這些駭客於2026年2月底，發起一起針對美國醫療機構的攻擊事件，駭客入侵並取得管理員帳號存取權，潛伏數日才部署勒索軟體，並在約3小時內完成整體系統加密，展現高度自動化與快速執行能力。

值得留意的是，此次使用的Pay2Key變種相較2025年版本已有明顯升級，在規避偵測、執行效率與反鑑識能力上，均有所強化，使既有偵測機制難以有效辨識。

在多數勒索軟體攻擊當中，駭客往往採取雙重勒索手法，加密受害組織檔案，並竊取資料作為施壓的策略，這次Pay2Key活動並未出現資料外洩的跡象，顯示駭客可能偏向破壞或戰略性干擾，獲取金錢利益並非唯一目的。

在整起活動裡，攻擊者在成功入侵受害組織之後，並未立刻使用自製工具，他們的第一個活動是在遭駭的主機上執行TeamViewer，由於這是受害組織本來就已部署的遠端管理工具，駭客這麼做是為了融入該組織的日常IT活動，避免端點防護系統察覺有異。

一旦攻擊者取得存取權限，他們就會開始搜刮憑證來進行橫向移動，研究人員看到駭客頻繁使用Mimikatz、LaZagne，以及ExtPassword，同時，他們也會使用Advanced IP Scanner和NetScan找出其他主機，以及有效的憑證資料。

有了相關的憑證，駭客就透過內建於AD的「使用者與電腦」主控臺（dsa.msc），找出受害組織採用的資料備份機制，其中包括：IBackup、Barracuda Yosemite，以及Windows伺服器備份機制。

這些駭客最終解開勒索軟體有效酬載並加密檔案，值得一提的是，他們將相關檔案偽裝成Avast防毒軟體的元件來迴避偵測，然後檢查受害電腦部署的防毒軟體或EDR系統，同時向電腦登錄有Avast防毒軟體正在運作，藉此讓內建的Microsoft Defender停止監控系統。實體電腦的檔案加密完成後，他們也對虛擬化平臺Hyper-V進行破壞，最終留下勒索信。

Pay2Key自2020年出現以來，即被多個資安機構認定與伊朗政府相關，其攻擊目標長期集中於美國與以色列等國家。研究亦指出，該組織過去曾試圖在地下論壇出售整個勒索軟體營運體系（RaaS），並與俄語系駭客社群有所互動，顯示其運作模式具備一定彈性與混合性質。