Descoberta e escopo
O grupo de ransomware Pay2Key, atribuído a atores de ameaças iranianos, lançou uma variante específica para Linux que está atacando ativamente servidores organizacionais, hosts de virtualização e cargas de trabalho em nuvem. A malware foi detectada pela primeira vez em meados de agosto de 2025, e seu design técnico indica que os operadores construíram a ferramenta para escala, confiabilidade e velocidade, em vez de discrição.
Diferente do ransomware tradicional que foca em ambientes de desktop, a construção Linux do Pay2Key vai direto para a camada de infraestrutura — os servidores e sistemas dos quais as organizações dependem diariamente. Uma vez dentro, o malware não apenas criptografa arquivos; ele desmantela sistematicamente as defesas que poderiam retardá-lo.
Vetor e exploração
Os pesquisadores da Morphisec identificaram a amostra de malware e notaram que o Pay2Key.I2, a variante Linux, é orientado por configuração e requer privilégios de nível root para execução. Isso significa que o ransomware roda com o nível mais alto de acesso ao sistema, dando-lhe controle total sobre o sistema de arquivos e funções do núcleo do SO.
Os operadores não estão dependendo de escalonamento de privilégios pós-execução; eles constroem o payload para rodar apenas uma vez que o acesso total já esteja em lugar. Isso elimina a necessidade de explorações de elevação de privilégio complexas, focando na execução direta com permissões totais.
Impacto e alcance
O impacto deste ransomware em organizações que executam infraestrutura baseada em Linux é significativo. Servidores que hospedam bancos de dados, backends de aplicativos e máquinas virtuais tornam-se alvos primários. Cargas de trabalho em nuvem, nas quais muitos negócios agora dependem para operações contínuas e ininterruptas, estão igualmente em risco.
A capacidade do malware de classificar diferentes tipos de sistemas de arquivos montados e criptografá-los seletivamente significa que ele pode causar o máximo de dano enquanto mantém o host operacional o suficiente para entregar uma demanda de resgate.
Repercussão e mitigação
Equipes de segurança executando infraestrutura baseada em Linux devem impor controles rigorosos sobre o acesso de nível root e auditar quais contas possuem privilégios elevados. Desabilitar capacidades desnecessárias de criação de jobs cron para usuários não administrativos pode reduzir o risco de mecanismos de persistência se estabelecerem.
Organizações também devem monitorar ativamente qualquer desabilitação inesperada do SELinux ou AppArmor, pois isso é um forte indicador de execução ativa de ransomware. Manter backups offline e imutáveis de dados críticos permanece como uma das maneiras mais eficazes de recuperar sem pagar um resgate.
O que os CISOs devem fazer imediatamente
A prioridade imediata é a revisão de permissões de root em servidores Linux críticos. A implementação de monitoramento de integridade de arquivos para detectar alterações no SELinux ou AppArmor é essencial. Além disso, a verificação de jobs cron não autorizados deve ser parte do processo de resposta a incidentes.