O Pay2Key passou a atacar servidores Linux com uma variante voltada a ambientes críticos, ampliando o alerta para organizações que dependem de infraestrutura baseada nesse sistema.
Segundo a análise publicada, a amostra Pay2Key.I2 foi observada em atividade desde o fim de agosto de 2025 e mostra foco em servidores corporativos, hosts de virtualização e workloads em nuvem.
A campanha chama atenção porque deixa de lado estações de trabalho e mira diretamente a camada de infraestrutura.
De acordo com os pesquisadores da Morphisec, a variante Linux é guiada por configuração e exige privilégios de root para ser executada, o que indica que os operadores entram em ação quando já possuem alto nível de acesso ao ambiente comprometido.
Antes de iniciar a criptografia, o malware prepara o terreno para reduzir resistência.
O código interrompe serviços, encerra processos ativos e desativa o SELinux e o AppArmor, dois dos principais mecanismos de proteção do Linux.
Na prática, isso reduz barreiras de defesa justamente no momento em que o ataque passa a afetar o sistema de forma mais agressiva.
A ameaça também estabelece persistência para sobreviver a reinicializações.
Segundo a análise, o Pay2Key cria uma entrada de cron para ser executado novamente após reboot, o que dificulta a contenção rápida do incidente e permite que a operação continue mesmo depois de uma tentativa inicial de recuperação.
O impacto potencial é alto porque o alvo são ambientes que concentram bancos de dados, backends de aplicações, máquinas virtuais e cargas em nuvem.
