Eind februari werd een Amerikaanse zorgorganisatie getroffen door een ransomware-aanval van een Iraanse groep die banden heeft met de overheid van Iran. Incident responders van Beazley Security ondersteunden de organisatie bij het afhandelen van de aanval met de Pay2Key ransomware, een variant die sinds 2020 door Iraanse actoren wordt ingezet voor diverse doeleinden.

Het Halcyon Ransomware Research Center hielp bij het onderzoek en ontdekte dat de ransomware verbeteringen heeft ondergaan waardoor deze moeilijker te detecteren is en meer schade kan aanrichten. Tijdens het incident was er geen bewijs dat data werd buitgemaakt, wat opmerkelijk is omdat eerdere Pay2Key-aanvallen vooral gericht waren op het stelen van informatie, aldus Amerikaanse inlichtingendiensten. De onderzoekers merkten op dat de activiteit van Pay2Key is toegenomen sinds het recente militaire conflict tussen de VS en Iran. Volgens Halcyon lijkt de groep niet altijd financiële afpersing te prioriteren boven het vernietigen van systemen met een strategisch doel.

Cynthia Kaiser, senior vice president bij Halcyon’s Ransomware Research Center en voormalig adjunct-directeur van de FBI Cyber Division, gaf aan dat de aanval samenviel met het begin van het militaire conflict, maar dat de motieven onduidelijk blijven. Uit het onderzoek bleek dat de aanvallers enkele dagen voor het inzetten van de ransomware een beheerdersaccount op het netwerk hadden gecompromitteerd. Na het versleutelen probeerden zij alle sporen en logbestanden te wissen.

Pay2Key heeft zich sinds vorig jaar actief gepresenteerd op Russische cybercriminelenfora en bood de operatie zelfs te koop aan. In juli 2025 verhoogde de groep het aandeel van affiliates in de losgeldbetalingen van 70 naar 80 procent. Er zijn aanwijzingen dat de groep ook Russische bedrijven begon te targeten, wat vragen oproept over de eigendom en controle van het ransomwareplatform. Ondanks deze ontwikkelingen bleef Pay2Key succesvol; in de zomer van 2025 werden 51 losgeldbetalingen ter waarde van circa 4 miljoen dollar geregistreerd. Sindsdien zijn 170 slachtoffers getroffen en is er 8 miljoen dollar aan losgeld ontvangen. De groep, actief sinds 2020, heeft ook slachtoffers in Israël gehad, waarbij betalingen via een Iraanse cryptobeurs liepen. Een Amerikaanse waarschuwing uit 2024 meldde dat Pay2Key samenwerkte met andere ransomwaregroepen en doelwitten had in de VS, Israël, Azerbeidzjan en de Verenigde Arabische Emiraten.