Ransomware Pay2Key passa a mirar Linux e eleva risco para ambientes críticos de infraestrutura
O grupo por trás do ransomware Pay2Key ampliou o escopo de atuação e agora explora ativamente servidores Linux com uma nova variante desenhada especificamente para ambientes críticos. A movimentação acende um alerta para organizações que sustentam suas operações em infraestrutura baseada em Linux, como data centers, provedores de nuvem, ambientes de virtualização e backends de aplicações corporativas.
A amostra identificada, batizada de Pay2Key.I2, vem sendo observada em atividade desde o fim de agosto de 2025 e demonstra um nítido desvio de foco em relação a muitos ataques tradicionais de ransomware: em vez de priorizar estações de trabalho, o alvo principal são servidores corporativos, hosts de virtualização e workloads em nuvem. Em outras palavras, o ataque mira diretamente o “coração” da operação de TI.
Pesquisadores da Morphisec apontam que a variante para Linux é altamente orientada por configuração e só consegue ser executada com privilégios de root. Esse requisito técnico sinaliza um ponto importante da cadeia de ataque: o ransomware não é usado como vetor inicial de intrusão, mas como etapa avançada, disparada quando os invasores já conquistaram um nível elevado de controle sobre o ambiente comprometido. Isso reforça o cenário de ataques direcionados, em que há reconhecimento prévio, movimentação lateral e escalada de privilégios antes da fase de criptografia.
Antes de iniciar o sequestro dos dados, o malware realiza uma série de ações para “preparar o terreno” e minimizar qualquer resistência do sistema. O código foi projetado para interromper serviços essenciais, encerrar processos em execução e desabilitar dois dos principais mecanismos de segurança do ecossistema Linux: SELinux e AppArmor. Ao derrubar essas camadas de proteção, os operadores reduzem significativamente as chances de bloqueio ou detecção em tempo hábil, justamente no momento em que o ataque se torna mais destrutivo.
Além de desativar controles de segurança, o Pay2Key.I2 também é capaz de estabelecer persistência no sistema para sobreviver a reinicializações. A análise mostra que o ransomware cria uma entrada de cron programada para garantir que o código malicioso seja acionado novamente após cada reboot. Essa característica dificulta a contenção rápida do incidente, pois mesmo tentativas de recuperação que envolvam a simples reinicialização do servidor podem não ser suficientes para interromper a campanha.
O potencial de impacto é especialmente elevado porque a nova variante atua em ambientes que concentram bancos de dados sensíveis, backends de aplicações críticas, máquinas virtuais que hospedam múltiplos serviços e cargas de trabalho em nuvem que suportam operações inteiras de negócios. Quando um host de virtualização ou um nó central de banco de dados é comprometido, o efeito cascata pode atingir dezenas ou centenas de sistemas dependentes, ampliando drasticamente o escopo do dano e o tempo de indisponibilidade.
Esse movimento do Pay2Key acompanha uma tendência mais ampla no cenário de cibercrime: a migração do foco de endpoints tradicionais para camadas de infraestrutura, onde o valor de impacto por ataque é muito maior. Em vez de cifrar o notebook de um colaborador, grupos de ransomware passaram a buscar hipervisores, clusters Kubernetes, servidores de aplicação e storage corporativo. Um único acerto nessas frentes pode paralisar linhas de produção, operações financeiras, plataformas de e-commerce e serviços críticos em escala nacional.
A escolha por Linux não é acidental. O sistema operacional domina boa parte dos servidores corporativos e ambientes de nuvem, além de ser amplamente utilizado em sistemas embarcados, dispositivos de rede e soluções de OT/IoT. Ao investir no desenvolvimento de uma variante Linux capaz de desativar mecanismos como SELinux e AppArmor, os atacantes demonstram conhecimento aprofundado da superfície de ataque e dos controles de segurança adotados em ambientes mais maduros.
Outro ponto relevante é a natureza “guiada por configuração” da variante. Isso permite que o mesmo binário seja adaptado a diferentes cenários: os operadores podem definir quais diretórios terão prioridade na criptografia, quais processos devem ser terminados antes do ataque, quais serviços precisam ser paralisados e até ajustes finos para lidar com diferentes distribuições Linux. Essa flexibilidade torna a campanha mais eficiente e dificulta a detecção por assinaturas estáticas.
Do ponto de vista defensivo, a exigência de privilégios de root é, ao mesmo tempo, um risco e uma oportunidade. Por um lado, indica que, quando o ransomware entra em ação, o ambiente já foi profundamente comprometido. Por outro, mostra que medidas de hardening e controles rigorosos de privilégio ainda são um dos pilares mais eficientes de prevenção. Políticas de “least privilege”, uso disciplinado de sudo, segmentação de contas administrativas e monitoramento de atividades privilegiadas podem atrasar ou até impedir a fase final do ataque.
Para organizações que operam ambientes críticos, a simples presença de SELinux e AppArmor não é suficiente. É fundamental garantir que essas tecnologias estejam corretamente configuradas, em modo enforcing, e integradas a uma política de segurança mais ampla. A nova variante do Pay2Key evidencia que, se esses controles forem facilmente desativados ou negligenciados, tornam-se apenas um obstáculo temporário no caminho do atacante.
Diante da sofisticação crescente de campanhas como essa, cresce também a demanda por Threat Intelligence voltada especificamente para ambientes de infraestrutura e nuvem. Não basta saber que um novo ransomware surgiu; é preciso entender vetores de intrusão mais prováveis, táticas de movimentação lateral, artefatos empregados antes da criptografia e indicadores de comprometimento que possam ser detectados ainda na fase de preparação do ataque.
Em paralelo, equipes de segurança têm buscado metodologias de pentest mais realistas, que simulem não apenas a exploração inicial, mas toda a cadeia de ataque de uma operação de ransomware moderna. Isso inclui testar cenários em que o invasor ganha acesso administrativo, verifica a topologia de servidores Linux, identifica hosts de virtualização, compromete backups e, só então, ativa o payload de criptografia. Testes desse tipo oferecem uma visão mais fiel do tempo de resposta da organização e de quão preparado o time está para conter um incidente complexo.
Do lado ofensivo, empresas especializadas em simular ataques avançados e desenvolver ferramentas customizadas de exploração vêm atraindo investimentos bilionários. Esse movimento do mercado é um reflexo direto da pressão que organizações sofrem para elevar o grau de realismo dos exercícios de segurança. Ao entender como grupos como o Pay2Key operam na prática, CISOs e equipes de defesa conseguem ajustar arquitetura, monitoramento, processos de resposta a incidentes e estratégias de backup com base em ameaças concretas.
A propagação de ransomware em ambientes Linux também recoloca em evidência a importância da redundância e da resiliência operacional. Backups offline e imutáveis, estratégias de recuperação que considerem cenários de comprometimento total de hipervisores, além de planos detalhados de continuidade de negócios, deixam de ser itens de checklist para se tornarem centrais na estratégia de segurança. Em ataques que atingem diretamente a camada de infraestrutura, a recuperação não depende apenas de descriptografia ou restauração de arquivos, mas de reconstruir serviços inteiros do zero.
Por fim, o avanço do Pay2Key para servidores Linux deixa uma mensagem clara: o perímetro tradicional há muito deixou de ser referência suficiente. Ambientes críticos exigem visibilidade profunda de servidores, nuvens públicas e privadas, pipelines de CI/CD e de toda a cadeia de dependências de software. Organizações que ainda enxergam o Linux apenas como “mais seguro por padrão” tendem a subestimar o nível de interesse que ele desperta em grupos de ransomware que buscam alvos de alto impacto e grande retorno financeiro.