Эксперты F6 исследовали новый шифровальщик-монстр с Востока

изображение: recraft
В феврале 2025 года у российского малого и среднего бизнеса появилась новая угроза – программа-вымогатель PE32. Название нового семейства созвучно с официальным названием формата исполняемых файлов PE32 (Portable Executable). Об атаках с использованием шифровальщика и о трендах восточных групп вымогателей рассказали в новом блоге криминалисты F6.
| Название | PE32 |
| Цель | Вымогательство финансовых средств за расшифровку данных |
| Жертвы | Российские компании малого и среднего бизнеса |
| Сумма выкупа | 500-150 000 долларов США в биткоинах (50 000 – 15 000 000 руб. по текущему курсу) |
| Период активности | С февраля 2025 года по настоящее время |
| Начальный вектор атаки | Скомпрометированные службы удаленного доступа |
| Программа-вымогатель | Программа-вымогатель разработана на языке программирования Rust, программа осуществляет шифрование файлов в 3 раунда. Одна из первых программ-вымогателей, использующих для шифрования стандарт постквантовой криптографии |
| Особенности | Атакующие не похищают данные жертвы. В качестве канала взаимодействия жертвы с атакующими используется электронная почта и Telegram. Контактные данные одновременно используются в других партнерских программах |
С 2022 года Россия стала ареной жесточайшей борьбы с преступными группировками, использующими в атаках программы-вымогатели. Рост таких атак увеличивается год к году. Львиную долю групп вымогателей, атакующих Россию, составляют проукраинские кибербанды и группы, имеющие ближневосточные корни. Не секрет, что многие программы-вымогатели и закрытые партнерские группы изначально были связаны с носителями персидского языка, что и породило такое понятие, как персидские шифровальщики.
Персидские вымогатели атакуют не только Россию, ареал их атак ничем не ограничен, от них страдают физические и юридические лица многих стран, как дружественных, так и недружественных. В России наиболее активны такие восточные партнерские программы, как Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG и многие другие.
В течение 2024 года в восточных группах шифровальщиков наметился тренд их качественного развития: они чаще стали атаковать Linux-системы помимо привычных им Windows. В качестве такого примера можно привести партнерскую программу Proxima/BlackShadow. В августе 2024 года появилась новая версия Enmity – программа Mammon, осуществляющая шифрование файлов в два прохода. А в середине февраля 2025 была выявлена первая персидская программа-вымогатель PE32, разработанная на языке программирования Rust. Мировые тенденции не обошли стороной и восточных разработчиков шифровальщиков, они стали использовать для разработки современные кроссплатформенные средства. И все же, справедливости ради стоит отметить, что это не первый шифровальщик на Rust, использованный для атак в России. Первой такой программой-вымогателем стала выявленная год назад программа Muliaka для ESXi.
Первые атаки с использованием PE32 были совершены в середине февраля, в них использовались версии 4.0.1 и 4.1.1, номера версий указаны разработчиками в коде и именах программ-вымогателей. Нами были выявлены ранние версии шифровальщика, загруженные c 04.01.2025 г. на портал VirusTotal одним и тем же пользователем с использованием Tor или VPN (рис. 2). Возможно, автор таким образом проверял обнаружение своих поделок антивирусными программами и всячески их дорабатывал. Мы уже не раз сталкивались с подобными действиями разработчиков вредоносного программного обеспечения.
Все технические подробности, описание тактик, техник и процедур атакующих и рекомендации по защите от вымогателей — в новом блоге от криминалистов F6.



