{"id":62067,"date":"2026-03-31T18:18:55","date_gmt":"2026-03-31T17:18:55","guid":{"rendered":"https:\/\/alground.com\/site\/?p=62067"},"modified":"2026-03-31T18:18:59","modified_gmt":"2026-03-31T17:18:59","slug":"pay2key-il-ransomware-iraniano-che-torna-a-colpire","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/pay2key-il-ransomware-iraniano-che-torna-a-colpire\/62067\/","title":{"rendered":"Pay2Key, il ransomware iraniano che torna a colpire"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a07b282574bd\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-6a07b282574bd\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/pay2key-il-ransomware-iraniano-che-torna-a-colpire\/62067\/#Un_vecchio_attore_una_nuova_fase\" >Un vecchio attore, una nuova fase<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/pay2key-il-ransomware-iraniano-che-torna-a-colpire\/62067\/#Dal_ransomware_alla_guerra_ibrida\" >Dal ransomware alla guerra ibrida<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/pay2key-il-ransomware-iraniano-che-torna-a-colpire\/62067\/#Perche_la_sanita\" >Perch\u00e9 la sanit\u00e0<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/pay2key-il-ransomware-iraniano-che-torna-a-colpire\/62067\/#Il_peso_del_contesto_geopolitico\" >Il peso del contesto geopolitico<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/pay2key-il-ransomware-iraniano-che-torna-a-colpire\/62067\/#Il_ritorno_di_un_nome\" >Il ritorno di un nome<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Pay2Key non \u00e8 solo un nome che ricompare nel sottobosco del cybercrime. \u00c8 un caso che racconta come il ransomware possa diventare uno strumento di pressione geopolitica, capace di mescolare denaro, sabotaggio e messaggio politico. Il gruppo, descritto da pi\u00f9 analisti come collegato all\u2019Iran, \u00e8 tornato al centro dell\u2019attenzione dopo una nuova intrusione contro una struttura sanitaria statunitense, avvenuta a fine febbraio 2026.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"un-vecchio-attore-una-nuova-fase\"><span class=\"ez-toc-section\" id=\"Un_vecchio_attore_una_nuova_fase\"><\/span>Un vecchio attore, una nuova fase<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>La storia di Pay2Key comincia nel 2020, quando il gruppo emerse con campagne contro organizzazioni israeliane e con un modello di doppia estorsione, cio\u00e8 cifratura dei dati e minaccia di pubblicazione delle informazioni sottratte. Le prime indagini collegarono presto l\u2019operazione a un ambiente iraniano, in particolare alla galassia di Fox Kitten, nome con cui vengono indicati diversi cluster di minaccia associati all\u2019Iran.<\/p>\n\n\n\n<p>Quel primo Pay2Key era gi\u00e0 anomalo. Non sembrava un gruppo interessato solo al riscatto. Il profilo operativo, le vittime e le tracce finanziarie suggerivano un obiettivo pi\u00f9 ampio: colpire soggetti percepiti come ostili a Teheran, in primo luogo in Israele. La dimensione politica non sostituiva il crimine. Lo inglobava.<\/p>\n\n\n\n<p>Negli anni successivi il nome \u00e8 rimasto vivo nel dibattito tra ricercatori, ma \u00e8 nel 2025 che Pay2Key riappare con forza, questa volta come <strong>ransomware-as-a-service<\/strong> e con il suffisso I2P, segno di un\u2019evoluzione tecnica e operativa. La nuova fase prevedeva anche un modello di incentivi molto aggressivo, con una quota dei profitti elevata per gli affiliati che colpivano gli \u201cnemici\u201d dell\u2019Iran.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"dal-ransomware-alla-guerra-ibrida\"><span class=\"ez-toc-section\" id=\"Dal_ransomware_alla_guerra_ibrida\"><\/span>Dal ransomware alla guerra ibrida<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Il punto pi\u00f9 interessante non \u00e8 solo la persistenza del gruppo, ma il modo in cui il suo uso del ransomware si avvicina a una forma di <strong>guerra ibrida<\/strong>. I ricercatori descrivono Pay2Key come un\u2019operazione che unisce infrastrutture criminali, motivazioni ideologiche e obiettivi strategici. In pratica, una piattaforma che pu\u00f2 essere usata per fare soldi e, allo stesso tempo, per disturbare servizi, intimidire avversari e mandare segnali politici.<\/p>\n\n\n\n<p>La nuova ondata di attivit\u00e0 ha mostrato una struttura pi\u00f9 sofisticata. Le analisi di sicurezza hanno evidenziato tecniche di evasione, anti-forensics e una capacit\u00e0 di agire rapidamente una volta ottenuto l\u2019accesso iniziale. Nel caso della struttura sanitaria americana, l\u2019attaccante sarebbe rimasto dentro la rete per giorni prima di lanciare la cifratura, completata in circa tre ore. \u00c8 un dato che conta. Indica pianificazione, pazienza e una conoscenza non banale dell\u2019ambiente colpito.<\/p>\n\n\n\n<p>In alcune campagne recenti, il gruppo avrebbe anche modificato il proprio arsenale per aumentare la compatibilit\u00e0 con ambienti Windows e Linux, migliorando la resilienza dei suoi strumenti e la capacit\u00e0 di aggirare i controlli difensivi. Questo \u00e8 il segnale di un\u2019operazione che non vive di improvvisazione, ma di iterazione costante.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"perch-la-sanit\"><span class=\"ez-toc-section\" id=\"Perche_la_sanita\"><\/span>Perch\u00e9 la sanit\u00e0<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>La scelta della sanit\u00e0 come bersaglio non \u00e8 casuale. Gli ospedali e le strutture sanitarie hanno margini di tolleranza bassissimi. Un attacco ransomware in questo settore non produce solo danni economici. Pu\u00f2 bloccare servizi essenziali, rallentare cure, creare caos amministrativo e mettere sotto pressione personale e pazienti.<\/p>\n\n\n\n<p>Nel caso emerso a marzo 2026, i ricercatori hanno riferito che non ci sarebbero evidenze di furto dati, un elemento che distingue l\u2019episodio da molte campagne ransomware tradizionali. Se confermato, questo dettaglio rafforzerebbe l\u2019idea che l\u2019operazione non puntasse soltanto all\u2019estorsione, ma anche alla <strong>disruption<\/strong>, cio\u00e8 alla paralisi dell\u2019organizzazione colpita.<\/p>\n\n\n\n<p>\u00c8 un passaggio chiave. Quando un attacco non cerca necessariamente il massimo guadagno economico, ma vuole soprattutto creare impatto operativo, il ransomware diventa qualcosa di pi\u00f9 vicino a un\u2019arma politica. E il confine tra cybercrime e operazione influenzata dallo Stato si fa ancora pi\u00f9 sfumato.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"il-peso-del-contesto-geopolitico\"><span class=\"ez-toc-section\" id=\"Il_peso_del_contesto_geopolitico\"><\/span>Il peso del contesto geopolitico<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Le nuove analisi del 2026 insistono su un punto: l\u2019attivit\u00e0 di Pay2Key cresce in parallelo alle tensioni tra Iran, Stati Uniti e Israele. Non \u00e8 solo una coincidenza temporale. \u00c8 un pattern che gli osservatori avevano gi\u00e0 visto negli anni precedenti. Quando lo scenario regionale si scalda, il gruppo sembra riattivarsi con maggiore intensit\u00e0.<\/p>\n\n\n\n<p>Questo rende Pay2Key un caso emblematico di come il cyber spazio venga usato come estensione del conflitto politico. Non servono bombardamenti o missili per produrre pressione. A volte basta una rete violata, un reparto bloccato, un sistema sanitario paralizzato per qualche ora o qualche giorno. Il danno simbolico e pratico si sommano.<\/p>\n\n\n\n<p>C\u2019\u00e8 anche un elemento di ambiguit\u00e0 che rende la vicenda ancora pi\u00f9 interessante. Alcuni ricercatori notano che Pay2Key \u00e8 stato recentemente commercializzato anche nei circuiti del cybercrime come servizio per affiliati, con una logica di profitto tipica delle gang ransomware pi\u00f9 strutturate. Eppure, il contesto operativo, i target e i messaggi interni mostrano un chiaro orientamento politico. \u00c8 una doppia natura che complica ogni attribuzione netta.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"il-ritorno-di-un-nome\"><span class=\"ez-toc-section\" id=\"Il_ritorno_di_un_nome\"><\/span>Il ritorno di un nome<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Il ritorno di Pay2Key nel 2026 non va letto come una semplice ripresa di attivit\u00e0 criminale. \u00c8 il sintomo di una strategia pi\u00f9 ampia, in cui un marchio gi\u00e0 noto viene riattivato, aggiornato e inserito dentro un quadro di tensioni internazionali. In altri termini, il nome serve anche come segnale. Dice ai bersagli che il gruppo \u00e8 vivo. Dice agli affiliati che c\u2019\u00e8 un guadagno possibile. Dice agli avversari che la pressione non si \u00e8 fermata.<\/p>\n\n\n\n<p>Le fonti inglesi pi\u00f9 recenti concordano su un punto: il gruppo appare oggi pi\u00f9 robusto, pi\u00f9 attento all\u2019evasione forense e pi\u00f9 interessato agli obiettivi occidentali, in particolare quelli statunitensi e israeliani. \u00c8 una traiettoria che merita attenzione, perch\u00e9 mostra come il ransomware stia entrando stabilmente nel linguaggio della competizione tra Stati.<\/p>\n\n\n\n<p>Per chi osserva la cybersecurity solo come questione tecnica, Pay2Key \u00e8 un caso di studio. Per chi guarda al quadro pi\u00f9 ampio, \u00e8 un promemoria. Nel mondo digitale, un gruppo criminale pu\u00f2 diventare rapidamente un attore geopolitico informale. E quando succede, il danno non si misura solo in file cifrati o in richieste di riscatto, ma nel messaggio che passa attraverso quelle macchine ferme e quei sistemi bloccati.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pay2Key non \u00e8 solo un nome che ricompare nel sottobosco del cybercrime. \u00c8 un caso che racconta come il ransomware possa diventare uno strumento di pressione geopolitica, capace di mescolare denaro, sabotaggio e messaggio politico. Il gruppo, descritto da pi\u00f9 analisti come collegato all\u2019Iran, \u00e8 tornato al centro dell\u2019attenzione dopo una nuova intrusione contro una [&hellip;]<\/p>\n","protected":false},"author":16,"featured_media":62068,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387],"tags":[],"class_list":{"0":"post-62067","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2026\/03\/ransomware-pay2key.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/62067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=62067"}],"version-history":[{"count":1,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/62067\/revisions"}],"predecessor-version":[{"id":62069,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/62067\/revisions\/62069"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/62068"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=62067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=62067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=62067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}